Detalles de la iniciativa integrada de cumplimiento normativo de CMMC de nivel 3 (Azure Government).
En el siguiente artículo se detalla la correspondencia entre los dominios de cumplimiento y los controles de la definición de la iniciativa integrada del cumplimiento normativo de Azure Policy y CMMC de nivel 3 (Azure Government). Para más información sobre este estándar de cumplimiento, consulte CMMC Level 3. Para entender el concepto de Propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
A continuación, se muestra la correspondencia con los controles de CMMC nivel 3. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de CMMC nivel 3.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Control de acceso
Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información).
Identificador: CMMC L3 AC.1.001 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza | Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar.
Identificador: CMMC L3 AC.1.002 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza | Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos.
Identificador: CMMC L3 AC.1.003 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Utiliza el principio de privilegios mínimos (también con cuentas con privilegios y funciones de seguridad específicas).
Identificador: CMMC L3 AC.2.007 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
Supervisa y controla las sesiones de acceso remoto.
Identificador: CMMC L3 AC.2.013 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas.
Identificador: CMMC L3 AC.2.016 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión.
Identificador: CMMC L3 AC.3.017 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría.
Identificador: CMMC L3 AC.3.018 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad.
Identificador: CMMC L3 AC.3.021 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Auditoría y responsabilidad
Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones.
Identificador: CMMC L3 AU.2.041 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada.
Identificador: CMMC L3 AU.2.042 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
Alerta en caso de error en el proceso de registro de auditoría.
Identificador: CMMC L3 AU.3.046 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales.
Identificador: CMMC L3 AU.3.048 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas.
Identificador: CMMC L3 AU.3.049 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
Evaluación de la seguridad
Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz.
Identificador: CMMC L3 CA.2.158 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles.
Identificador: CMMC L3 CA.3.161 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Administración de la configuración
Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema.
Identificador: CMMC L3 CM.2.061 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales.
Identificador: CMMC L3 CM.2.062 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
Controla y supervisa el software instalado por el usuario.
Identificador: CMMC L3 CM.2.063 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización.
Identificador: CMMC L3 CM.2.064 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para SQL en los servidores de Azure SQL Server desprotegidos. | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización.
Identificador: CMMC L3 CM.2.065 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales.
Identificador: CMMC L3 CM.3.068 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
Aplica la directiva de denegar por excepción (lista de bloqueados) para impedir el uso de software no autorizado o la directiva de denegar todo, permitir por excepción (lista de permitidos) para permitir la ejecución de software autorizado.
Identificador: CMMC L3 CM.3.069 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
Identificación y autenticación
Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización.
Identificador: CMMC L3 IA.1.077 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
Usa la autenticación multifactor para el acceso local y de red a cuentas con privilegios, y para el acceso de red a cuentas sin privilegios.
Identificador: CMMC L3 IA.3.083 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios.
Identificador: CMMC L3 IA.3.084 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
Respuesta a los incidentes
Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario.
Identificador: CMMC L3 IR.2.092 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Detecta y notifica eventos.
Identificador: CMMC L3 IR.2.093 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red. | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Recuperación
Ejecuta y prueba periódicamente copias de seguridad de los datos.
Identificador: CMMC L3 RE.2.137 propiedad: Customer
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Realiza periódicamente copias de seguridad completas y duraderas de los datos en función de las especificaciones de la organización.
Identificador: CMMC L3 RE.3.139 propiedad: Customer
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Evaluación de riesgos
Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes.
Identificador: CMMC L3 RM.2.141 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones.
Identificador: CMMC L3 RM.2.142 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos.
Identificador: CMMC L3 RM.2.143 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Administración de riesgos
Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos.
Identificador: CMMC L3 RM.3.144 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
Protección del sistema y de las comunicaciones
Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización.
Identificador: CMMC L3 SC.1.175 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red. | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas.
Identificador: CMMC L3 SC.1.176 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
Utiliza sesiones cifradas para administrar los dispositivos de red.
Identificador: CMMC L3 SC.2.179 propiedad: Customer
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
Emplea una criptografía validada por FIPS para proteger la confidencialidad de CUI.
Identificador: CMMC L3 SC.3.177 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente | Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. | Audit, Deny, Disabled | 1.0.0 |
| Los trabajos de Azure Stream Analytics deben usar claves administradas por el cliente para cifrar los datos | Use las claves administradas por el cliente cuando quiera almacenar de forma segura los recursos de datos privados y los metadatos de sus trabajos de Stream Analytics en la cuenta de almacenamiento. De esta forma, dispondrá de un control total sobre la forma en que se cifran los datos de Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. | Audit, Deny, Disabled | 1.0.0 |
| Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. | Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización.
Identificador: CMMC L3 SC.3.180 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
Separa la funcionalidad del usuario de la funcionalidad de administración del sistema.
Identificador: CMMC L3 SC.3.181 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones).
Identificador: CMMC L3 SC.3.183 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red. | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza | Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas.
Identificador: CMMC L3 SC.3.185 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización.
Identificador: CMMC L3 SC.3.187 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
Protege la autenticidad de las sesiones de comunicaciones.
Identificador: CMMC L3 SC.3.190 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
Protege la confidencialidad de CUI en reposo.
Identificador: CMMC L3 SC.3.191 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para SQL en los servidores de Azure SQL Server desprotegidos. | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Integridad del sistema y de la información
Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno.
Identificador: CMMC L3 SI.1.210 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización.
Identificador: CMMC L3 SI.1.211 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Disabled | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles.
Identificador: CMMC L3 SI.1.212 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Realiza análisis periódicos del sistema de información y análisis en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan.
Identificador: CMMC L3 SI.1.213 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Disabled | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques.
Identificador: CMMC L3 SI.2.216 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red. | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Identifica el uso no autorizado de los sistemas de la organización.
Identificador: CMMC L3 SI.2.217 propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para SQL en los servidores de Azure SQL Server desprotegidos. | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.