Detalles de la iniciativa integrada de cumplimiento normativo Banco de la Reserva de la India: marco informático para NBFC
En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles del Banco de la Reserva de la India: marco informático para NBFC. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de iniciativa integrada de cumplimiento normativo [Versión preliminar] Banco de la Reserva de la India: marco informático para NBFC.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Gobernanza de TI
Gobernanza de TI-1
Identificador: RBI IT Framework 1
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Gobernanza de TI-1.1
Identificador: RBI IT Framework 1.1
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
Directiva de TI
Directiva de TI-2
Identificador: RBI IT Framework 2
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
Información y ciberseguridad
Seguridad de la información-3
Identificador: RBI IT Framework 3
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
Identificación y clasificación de recursos de información-3.1
Identificador: RBI IT Framework 3.1.a
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
Segregación de Functions-3.1
Identificador: RBI IT Framework 3.1.b
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. | Audit, Disabled | 3.1.0 en desuso |
| [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales Windows confidenciales y de inicio seguro. | Audit, Disabled | 4.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Audit, Disabled | 2.0.0-preview |
| Las aplicaciones de App Service deben tener la depuración remota desactivada. | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Control de acceso basado en rol-3.1
Identificador: RBI IT Framework 3.1.c
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Maker-checker-3.1
Identificador: RBI IT Framework 3.1.f
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Trails-3.1
Identificador: RBI IT Framework 3.1.g
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Los componentes de Application Insights deberían bloquear la ingesta y consulta de registros desde redes públicas | Mejore la seguridad de Application Insights mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de este componente. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics | Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL. | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Las áreas de trabajo de Log Analytics deberían bloquear la ingesta y consulta de registros desde redes públicas | Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Las áreas de trabajo de Log Analytics deberían bloquear la ingesta no basada en Azure Active Directory. | La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. | Deny, Audit, Disabled | 1.0.0 |
| Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
| Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
| La duración del registro debe estar habilitada para los servidores de bases de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_duration. | AuditIfNotExists, Disabled | 1.0.0 |
| El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. | Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
| La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
Infraestructura de clave pública (PKI)-3.1
Identificador: RBI IT Framework 3.1.g
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Configuration debe usar una clave administrada por el cliente | El uso de claves administradas por el cliente proporciona una mejor protección de los datos al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. | Audit, Deny, Disabled | 1.1.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for MySQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for MySQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas de Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
| Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
| Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente | Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar el cifrado doble para los datos en reposo. | Habilite el cifrado de infraestructura para el cifrado en reposo de los ámbitos de cifrado de la cuenta de almacenamiento para mayor seguridad. El cifrado de infraestructura garantiza que los datos se cifren dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Administración de vulnerabilidades-3.3
Identificador: RBI IT Framework 3.3
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse | Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Firmas digitales-3.8
Identificador: RBI IT Framework 3.8
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. | Audit, Disabled | 3.1.0 en desuso |
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Los certificados deben utilizar tipos de clave admitidos | Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos | Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Operaciones de TI
Operaciones de TI-4.2
Identificador: RBI IT Framework 4.2
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
Operaciones de TI-4.4
Identificador: RBI IT Framework 4.4.a
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
MIS para la administración superior-4.4
Identificador: RBI IT Framework 4.4.b
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
Auditoría de IS
Directiva para la auditoría del sistema de información (auditoría de IS)-5
Identificador: RBI IT Framework 5
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben quitar las reglas de firewall de IP en las áreas de trabajo de Azure Synapse. | La eliminación de todas las reglas de firewall de IP mejora la seguridad al garantizar que solo se puede acceder a su área de trabajo de Azure Synapse desde un punto de conexión privado. Esta configuración audita la creación de reglas de firewall que permiten el acceso a la red pública en el área de trabajo. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Cobertura-5.2
Identificador: RBI IT Framework 5.2
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
Planes de continuidad empresarial
Planes de continuidad empresarial (BCP) y recuperación ante desastres-6
Identificador: RBI IT Framework 6
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Versión preliminar]: Los almacenes de Recovery Services deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Obtenga más información sobre los vínculos privados para Azure Site Recovery en https://aka.ms/HybridScenarios-PrivateLink y https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Estrategia de recuperación/plan de contingencia-6.2
Identificador: RBI IT Framework 6.2
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Estrategia de recuperación/plan de contingencia-6.3
Identificador: RBI IT Framework 6.3
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Estrategia de recuperación/Plan de contingencia-6.4
Identificador: RBI IT Framework 6.4
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Versión preliminar]: Los almacenes de Recovery Services deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Obtenga más información sobre los vínculos privados para Azure Site Recovery en https://aka.ms/HybridScenarios-PrivateLink y https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.