Puntuación de seguridad de Azure Security CenterSecure score in Azure Security Center

Introducción a Puntuación de seguridadIntroduction to secure score

Azure Security Center tiene dos objetivos principales:Azure Security Center has two main goals:

  • ayudarle a entender su situación de seguridad actualto help you understand your current security situation
  • ayudarle a mejorar la seguridad de forma eficazto help you efficiently and effectively improve your security

La característica principal de Security Center que le ayuda a conseguir estos objetivos es la puntuación de seguridad.The central feature in Security Center that enables you to achieve those goals is secure score.

Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de seguridad.Security Center continually assesses your resources, subscriptions, and organization for security issues. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.It then aggregates all the findings into a single score so that you can tell, at a glance, your current security situation: the higher the score, the lower the identified risk level.

La puntuación de seguridad se muestra en las páginas de Azure Portal como un valor de porcentaje, pero los valores subyacentes también se presentan claramente:The secure score is shown in the Azure portal pages as a percentage value, but the underlying values are also clearly presented:

Puntuación de seguridad general como se muestra en el portal

Para aumentar la seguridad, revise la página de recomendaciones de Security Center en busca de las acciones pendientes necesarias para aumentar la puntuación.To increase your security, review Security Center's recommendations page for the outstanding actions necessary to raise your score. Cada recomendación incluye instrucciones para ayudarle a corregir el problema específico.Each recommendation includes instructions to help you remediate the specific issue.

Las recomendaciones se agrupan en controles de seguridad.Recommendations are grouped into security controls. Cada control es un grupo lógico de recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables.Each control is a logical group of related security recommendations, and reflects your vulnerable attack surfaces. La puntuación solo mejora cuando corrige todas las recomendaciones para un solo recurso de un control.Your score only improves when you remediate all of the recommendations for a single resource within a control. Para ver cómo protege su organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada control de seguridad.To see how well your organization is securing each individual attack surface, review the scores for each security control.

Para más información, consulte Cálculo de la puntuación de seguridad a continuación.For more information, see How your secure score is calculated below.

Cálculo de la puntuación de seguridadHow your secure score is calculated

La contribución de cada control de seguridad en la puntuación de seguridad total aparece con claridad en la página de recomendaciones.The contribution of each security control towards the overall secure score is shown clearly on the recommendations page.

La puntuación de seguridad mejorada presenta controles de seguridadThe enhanced secure score introduces security controls

Para obtener todos los puntos posibles de un control de seguridad, todos sus recursos deben cumplir todas las recomendaciones de seguridad de dicho control.To get all the possible points for a security control, all your resources must comply with all of the security recommendations within the security control. Por ejemplo, Security Center tiene varias recomendaciones sobre cómo proteger los puertos de administración.For example, Security Center has multiple recommendations regarding how to secure your management ports. Deberá corregirlas todas para que la puntuación de seguridad mejore.You'll need to remediate them all to make a difference to your secure score.

Por ejemplo, el control de seguridad denominado "Aplicar actualizaciones del sistema" tiene una puntuación máxima de seis puntos, como puede ver en la información sobre herramientas sobre el potencial valor de mejora del control:For example, the security control called "Apply system updates" has a maximum score of six points, which you can see in the tooltip on the potential increase value of the control:

Control de seguridad "Aplicar actualizaciones del sistema"The security control "Apply system updates"

La puntuación máxima para este control, "Aplicar actualizaciones del sistema", es siempre 6.The maximum score for this control, Apply system updates, is always 6. En este ejemplo, hay 50 recursos.In this example, there are 50 resources. Por tanto, dividimos la puntuación máxima entre 50 y el resultado es que cada recurso aporta 0,12 puntos.So we divide the max score by 50, and the result is that every resource contributes 0.12 points.

  • Mejora potencial (0,12 x 8 recursos con estado incorrecto = 0,96): los puntos restantes disponibles para el usuario en el control.Potential increase (0.12 x 8 unhealthy resources = 0.96) - The remaining points available to you within the control. Esto significa que si corrige todas las recomendaciones de este control, la puntuación aumentará en un 2 % (en este caso, 0,96 puntos, que se redondean en 1 punto).If you remediate all the recommendations in this control, your score will increase by 2% (in this case, 0.96 points rounded up to 1 point).
  • Puntuación actual (0,12 x 42 recursos con estado correcto = 5,04): puntuación actual para este control.Current score (0.12 x 42 healthy resources = 5.04) - The current score for this control. Cada control contribuye a la puntuación total.Each control contributes towards the total score. En este ejemplo, el control contribuye con 5,04 puntos a la puntuación total de seguridad actual.In this example, the control is contributing 5.04 points to current secure total.
  • Puntuación máxima: el número máximo de puntos que puede obtener al completar todas las recomendaciones de un control.Max score - The maximum number of points you can gain by completing all recommendations within a control. La puntuación máxima de un control indica la importancia relativa de ese control.The maximum score for a control indicates the relative significance of that control. Use los valores de puntuación máxima para evaluar la prioridad de los problemas.Use the max score values to triage the issues to work on first.

Cálculos: Descripción de la puntuaciónCalculations - understanding your score

MétricaMetric Fórmula y ejemploFormula and example
Puntuación actual del control de seguridadSecurity control's current score
Ecuación para calcular la puntuación de un control de seguridadEquation for calculating a security control's score

Cada control de seguridad individual contribuye a la puntuación de seguridad.Each individual security control contributes towards the Security Score. Cada recurso afectado por una recomendación dentro del control contribuye a la puntuación actual de este.Each resource affected by a recommendation within the control, contributes towards the control's current score. La puntuación actual de cada control es una medida del estado de los recursos que están dentro del control.The current score for each control is a measure of the status of the resources within the control.
Información sobre herramientas que muestra los valores usados al calcular la puntuación actual del control de seguridadTooltips showing the values used when calculating the security control's current score
En este ejemplo, la puntuación máxima de 6 se divide entre 78, ya que esta es la suma de los recursos correctos e incorrectos.In this example, the max score of 6 would be divided by 78 because that's the sum of the healthy and unhealthy resources.
6 / 78 = 0,07696 / 78 = 0.0769
La multiplicación de esa cifra por el número de recursos correctos (4) da como resultado la puntuación actual:Multiplying that by the number of healthy resources (4) results in the current score:
0.0769 * 4 = 0.310.0769 * 4 = 0.31

Puntuación seguraSecure score
Suscripción únicaSingle subscription

Ecuación para calcular la puntuación de seguridad de una suscripción

Puntuación de seguridad de una suscripción única con todos los controles habilitados
En este ejemplo, hay una suscripción única con todos los controles de seguridad disponibles (una puntuación máxima posible de 60 puntos).In this example, there is a single subscription with all security controls available (a potential maximum score of 60 points). La puntuación muestra 28 puntos de los 60 posibles y los 32 puntos restantes se reflejan en las cifras de "Posible aumento de puntuación" de los controles de seguridad.The score shows 28 points out of a possible 60 and the remaining 32 points are reflected in the "Potential score increase" figures of the security controls.
Lista de controles y posible aumento de puntuación
Puntuación seguraSecure score
Varias suscripcionesMultiple subscriptions

Ecuación para calcular la puntuación de seguridad de varias suscripcionesEquation for calculating the secure score for multiple subscriptions

Al calcular la puntuación combinada para varias suscripciones, Security Center incluye una ponderación para cada suscripción.When calculating the combined score for multiple subscriptions, Security Center includes a weight for each subscription. Las ponderaciones relativas de las suscripciones se determinan mediante Security Center en función de factores como el número de recursos.The relative weights for your subscriptions are determined by Security Center based on factors such as the number of resources.
La puntuación actual de cada suscripción se calcula de la misma manera que para una sola suscripción, pero la ponderación se aplica como se muestra en la ecuación.The current score for each subscription is calculated in the same way as for a single subscription, but then the weight is applied as shown in the equation.
Cuando se ven varias suscripciones, la puntuación de seguridad evalúa todos los recursos de todas las directivas habilitadas y agrupa su impacto combinado en la puntuación máxima de cada control de seguridad.When viewing multiple subscriptions, secure score evaluates all resources within all enabled policies and groups their combined impact on each security control's maximum score.
Puntuación de seguridad de varias suscripciones con todos los controles habilitadosSecure score for multiple subscriptions with all controls enabled
La puntuación combinada no es un promedio; en vez de eso, es la posición evaluada del estado de todos los recursos de todas las suscripciones.The combined score is not an average; rather it's the evaluated posture of the status of all resources across all subscriptions.
También en este caso, si va a la página de recomendaciones y suma los puntos posibles disponibles, observará que esta es la diferencia entre la puntuación actual (24) y la puntuación máxima disponible (60).Here too, if you go to the recommendations page and add up the potential points available, you will find that it's the difference between the current score (24) and the maximum score available (60).

¿Qué recomendaciones se incluyen en los cálculos de la puntuación de seguridad?Which recommendations are included in the secure score calculations?

Solo las recomendaciones integradas afectan a la puntuación de seguridad.Only built-in recommendations have an impact on the secure score.

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de seguridad.Recommendations flagged as Preview aren't included in the calculations of your secure score. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación.They should still be remediated wherever possible, so that when the preview period ends they'll contribute towards your score.

Un ejemplo de una recomendación en versión preliminar:An example of a preview recommendation:

Recomendación con la marca de versión preliminar

Mejora de su puntuación de seguridadImprove your secure score

Para mejorar la puntuación de seguridad, corrija las recomendaciones de seguridad de la lista de recomendaciones.To improve your secure score, remediate security recommendations from your recommendations list. Puede corregir cada recomendación manualmente para cada recurso o utilizar la opción Corrección rápidaYou can remediate each recommendation manually for each resource, or by using the Quick Fix! (si está disponible) para aplicar rápidamente una corrección de una recomendación a un grupo de recursos.option (when available) to apply a remediation for a recommendation to a group of resources quickly. Para más información, consulte Corrección de recomendaciones.For more information, see Remediate recommendations.

Otra forma de mejorar la puntuación y de asegurarse de que los usuarios no creen recursos que afecten negativamente a la puntuación es configurar las opciones de aplicar y denegar en las recomendaciones pertinentes.Another way to improve your score and ensure your users don't create resources that negatively impact your score is to configure the Enforce and Deny options on the relevant recommendations. Más información en Evitar errores de configuración con Aplicar/Denegar.Learn more in Prevent misconfigurations with Enforce/Deny recommendations.

Controles de seguridad y sus recomendacionesSecurity controls and their recommendations

En la tabla siguiente se enumeran los controles de seguridad de Azure Security Center.The table below lists the security controls in Azure Security Center. Para cada control, puede ver el número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control, para todos los recursos.For each control, you can see the maximum number of points you can add to your secure score if you remediate all of the recommendations listed in the control, for all of your resources.

El conjunto de recomendaciones de seguridad proporcionadas con Security Center se adapta a los recursos disponibles en el entorno de cada organización.The set of security recommendations provided with Security Center is tailored to the available resources in each organization's environment. Las recomendaciones se pueden personalizar aún más deshabilitando directivas y excluyendo recursos específicos de una recomendación.The recommendations can be further customized by disabling policies and exempting specific resources from a recommendation.

Se recomienda que cada organización revise cuidadosamente sus iniciativas de Azure Policy asignadas.We recommend every organization carefully review their assigned Azure Policy initiatives.

Sugerencia

Para obtener información detallada sobre cómo revisar y editar iniciativas, vea Trabajo con directivas de seguridad.For details of reviewing and editing your initiatives, see Working with security policies.

Aunque la iniciativa de seguridad predeterminada de Security Center se basa en los estándares y procedimientos recomendados del sector, hay escenarios en los que es posible que las recomendaciones integradas que se indican a continuación no se ajusten completamente a su organización.Even though Security Center's default security initiative is based on industry best practices and standards, there are scenarios in which the built-in recommendations listed below might not completely fit your organization. Por lo tanto, a veces será necesario ajustar la iniciativa predeterminada, sin comprometer la seguridad, para asegurarse de que está alineada con las directivas propias de su organización,Consequently, it'll sometimes be necessary to adjust the default initiative - without compromising security - to ensure it's aligned with your organization's own policies. así como con estándares del sector, estándares normativos y pruebas comparativas que tiene la obligación de cumplir.industry standards, regulatory standards, and benchmarks you're obligated to meet.

Puntuación seguraSecure score Control de seguridad y descripciónSecurity control and description RecomendacionesRecommendations

10

10

Habilitar MFA

Enable MFA

Si para autenticar a un usuario solo usa una contraseña, deja un vector desprotegido frente a los ataques.
If you only use a password to authenticate a user, it leaves an attack vector open. Si la contraseña es débil o se ha expuesto en otro lugar, ¿cómo saber si es el usuario quien inicia sesión realmente con el nombre de usuario y la contraseña?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password?
Con MFA habilitada, las cuentas son más seguras y los usuarios aún podrán autenticarse en casi cualquier aplicación con inicio de sesión único (SSO).With MFA enabled, your accounts are more secure, and users can still authenticate to almost any application with single sign-on (SSO).
- MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción.- MFA should be enabled on accounts with owner permissions on your subscription
-MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripción.- MFA should be enabled on accounts with write permissions on your subscription

8

8

Protección de los puertos de administración

Secure management ports

Los ataques por fuerza bruta tienen como destino los puertos de administración para obtener acceso a una máquina virtual.
Brute force attacks target management ports to gain access to a VM. Dado que no siempre es necesario abrir los puertos, una estrategia de mitigación consiste en reducir la exposición a los puertos mediante controles de acceso a la red Just-in-Time, grupos de seguridad de red y administración de puertos de máquina virtual.Since the ports don't always need to be open, one mitigation strategy is to reduce exposure to the ports using just-in-time network access controls, network security groups, and virtual machine port management.
Dado que muchas organizaciones de TI no bloquean las comunicaciones SSH salientes de su red, los atacantes pueden crear túneles cifrados que permitan a los puertos RDP de los sistemas infectados comunicarse con el comando del atacante para controlar los servidores.Since many IT organizations don't block SSH communications outbound from their network, attackers can create encrypted tunnels that allow RDP ports on infected systems to communicate back to the attacker command to control servers. Los atacantes pueden usar el subsistema de Administración remota de Windows para moverse lateralmente por el entorno y usar credenciales robadas para acceder a otros recursos de una red.Attackers can use the Windows Remote Management subsystem to move laterally across your environment and use stolen credentials to access other resources on a network.
- Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red.- Internet-facing virtual machines should be protected with network security groups
- Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.- Management ports of virtual machines should be protected with just-in-time network access control
- Se deben cerrar los puertos de administración en las máquinas virtuales.- Management ports should be closed on your virtual machines

6

6

Aplicación de actualizaciones del sistema

Apply system updates

Las actualizaciones del sistema proporcionan a las organizaciones la capacidad de mantener la eficacia operativa, reducir las vulnerabilidades de seguridad y proporcionar un entorno más estable para los usuarios finales.
System updates provide organizations with the ability to maintain operational efficiency, reduce security vulnerabilities, and provide a more stable environment for end users. No aplicar actualizaciones deja vulnerabilidades sin revisiones y da lugar a entornos susceptibles a ataques.Not applying updates leaves unpatched vulnerabilities and results in environments that are susceptible to attacks. Estas vulnerabilidades se pueden aprovechar y provocar problemas como la pérdida de datos, la filtración de datos, el ransomware y el uso abusivo de recursos.These vulnerabilities can be exploited and lead to data loss, data exfiltration, ransomware, and resource abuse. Para implementar actualizaciones del sistema, puede usar la solución Update Management para administrar las actualizaciones y las revisiones de las máquinas virtuales.To deploy system updates, you can use the Update Management solution to manage patches and updates for your virtual machines. La administración de actualizaciones es el proceso mediante el que se controla la implementación y el mantenimiento de las versiones de software.Update management is the process of controlling the deployment and maintenance of software releases.
- Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable.- Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas- Log Analytics agent health issues should be resolved on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux- Log Analytics agent should be installed on your Linux-based Azure Arc machines
- El agente de Log Analytics debe instalarse en su máquina virtual- Log Analytics agent should be installed on your virtual machine
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales- Log Analytics agent should be installed on your virtual machine scale sets
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows- Log Analytics agent should be installed on your Windows-based Azure Arc machines
- La versión del sistema operativo debe actualizarse para los roles de servicio en la nube.- OS version should be updated for your cloud service roles
- Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales.- System updates on virtual machine scale sets should be installed
- Se deben instalar las actualizaciones del sistema en las máquinas.- System updates should be installed on your machines
- Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)- System updates should be installed on your machines (powered by Update Center)

6

6

Corrección de vulnerabilidades

Remediate vulnerabilities

Una vulnerabilidad es un punto débil que un actor de amenazas podría aprovechar para poner en peligro la confidencialidad, la disponibilidad o la integridad de un recurso.
A vulnerability is a weakness that a threat actor could leverage, to compromise the confidentiality, availability, or integrity of a resource. La administración de vulnerabilidades reduce la exposición de la organización, protege el área expuesta del punto de conexión, aumenta la resistencia de la organización y reduce la superficie de ataque de los recursos.Managing vulnerabilities reduces organizational exposure, hardens endpoint surface area, increases organizational resilience, and reduces the attack surface of your resources. La administración de amenazas y vulnerabilidades permite detectar errores de configuración de software y seguridad y proporciona recomendaciones para mitigarlos.Threat and Vulnerability Management provides visibility into software and security misconfigurations and provide recommendations for mitigations.
- Debe habilitarse una solución de valoración de vulnerabilidades en las máquinas virtuales.- A vulnerability assessment solution should be enabled on your virtual machines
- Azure Defender para SQL debe estar habilitado en las instancias administradas.- Azure Defender for SQL should be enabled on your managed instances
- Azure Defender para SQL debe estar habilitado en los servidores SQL Server.- Azure Defender for SQL should be enabled on your SQL servers
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.- Azure Policy Add-on for Kubernetes should be installed and enabled on your clusters
- Solo deben implementarse imágenes de contenedor de registros de confianza- Container images should be deployed from trusted registries only
- Las vulnerabilidades de las imágenes de Azure Container Registry deben corregirse (con tecnología de Qualys).- Vulnerabilities in Azure Container Registry images should be remediated (powered by Qualys)
- Las vulnerabilidades de las máquinas virtuales deben corregirse.- Vulnerabilities in your virtual machines should be remediated
- Las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL deben corregirse.- Vulnerability assessment findings on your SQL databases should be remediated
- Las conclusiones de la evaluación de vulnerabilidades de los servidores SQL Server en las máquinas deben corregirse.- Vulnerability assessment findings on your SQL servers on machines should be remediated
- La evaluación de vulnerabilidades debe estar habilitada en las instancias administradas de SQL.- Vulnerability assessment should be enabled on your SQL managed instances
- La evaluación de vulnerabilidades debe estar habilitada en sus servidores de SQL Server.- Vulnerability assessment should be enabled on your SQL servers

4

4

Cifrado de los datos en tránsito

Encrypt data in transit

Los datos están "en tránsito" cuando se transfieren datos entre componentes, ubicaciones o programas.
Data is "in transit" when it's transmitted between components, locations, or programs. Las organizaciones que no protegen los datos en tránsito son susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión.Organizations that fail to protect data in transit are susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Para intercambiar datos, se deben usar protocolos SSL/TLS y se recomienda utilizar una VPN.SSL/TLS protocols should be used to exchange data and a VPN is recommended. Al enviar datos cifrados entre una máquina virtual de Azure y una ubicación local a través de Internet, puede usar una puerta de enlace de red virtual como Azure VPN Gateway para enviar tráfico cifrado.When sending encrypted data between an Azure virtual machine and an on-premise location, over the internet, you can use a virtual network gateway such as Azure VPN Gateway to send encrypted traffic.
- Se debe acceder a la aplicación de API App solo a través de HTTPS.- API App should only be accessible over HTTPS
- La aplicación de una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL- Enforce SSL connection should be enabled for MySQL database servers
- La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL- Enforce SSL connection should be enabled for PostgreSQL database servers
- Es necesario exigir FTPS en la aplicación de API- FTPS should be required in your API App
- Es necesario exigir FTPS en la aplicación de funciones- FTPS should be required in your function App
- Es necesario exigir FTPS en la aplicación web- FTPS should be required in your web App
- Acceso a Function App solo a través de HTTPS.- Function App should only be accessible over HTTPS
- Dispositivos IoT: es preciso actualizar el conjunto de cifrado de TLS.- IoT Devices - TLS cipher suite upgrade needed
- Solo se deben habilitar las conexiones seguras a Redis Cache.- Only secure connections to your Redis Cache should be enabled
- Se debe habilitar la transferencia segura a las cuentas de almacenamiento.- Secure transfer to storage accounts should be enabled
- TLS debe actualizarse a la versión más reciente en la aplicación de API- TLS should be updated to the latest version for your API app
- TLS debe actualizarse a la versión más reciente en la aplicación de funciones- TLS should be updated to the latest version for your function app
- TLS debe actualizarse a la versión más reciente en la aplicación web- TLS should be updated to the latest version for your web app
- Acceso a la aplicación web solo a través de HTTPS.- Web Application should only be accessible over HTTPS

4

4

Restricción de los accesos de red no autorizados

Restrict unauthorized network access

Los puntos de conexión de una organización proporcionan una conexión directa desde la red virtual a los servicios de Azure compatibles.
Endpoints within an organization provide a direct connection from your virtual network to supported Azure services. Las máquinas virtuales de una subred pueden comunicarse con todos los recursos.Virtual machines in a subnet can communicate with all resources. Para limitar la comunicación hacia y desde todos los recursos de una subred, cree un grupo de seguridad de red y asócielo a la subred.To limit communication to and from resources within a subnet, create a network security group and associate it to the subnet. Las organizaciones pueden limitar el tráfico no autorizado y protegerse mediante la creación de reglas de entrada y salida.Organizations can limit and protect against unauthorized traffic by creating inbound and outbound rules.
-Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet- Adaptive network hardening recommendations should be applied on internet facing virtual machines
- En los grupos de seguridad de red asociados a la máquina virtual, todos los puertos de red deben estar restringidos.- All network ports should be restricted on network security groups associated to your virtual machine
- App Configuration debe usar un vínculo privado.- App Configuration should use private link
- Azure Cache for Redis debe residir en una red virtual.- Azure Cache for Redis should reside within a virtual network
- Los dominios de Azure Event Grid deben usar un vínculo privado.- Azure Event Grid domains should use private link
- Los temas de Azure Event Grid deben usar un vínculo privado.- Azure Event Grid topics should use private link
- Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado.- Azure Machine Learning workspaces should use private link
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.- Azure Policy Add-on for Kubernetes should be installed and enabled on your clusters
- Azure SignalR Service debe usar un vínculo privado.- Azure SignalR Service should use private link
- Azure Spring Cloud debe usar la inserción de red.- Azure Spring Cloud should use network injection
- Las instancias de Container Registry no deben permitir el acceso de red sin restricciones.- Container registries should not allow unrestricted network access
- Las instancias de Container Registry deben usar un vínculo privado.- Container registries should use private link
- Los contenedores solo deben escuchar en los puertos permitidos.- Containers should listen on allowed ports only
- CORS no debe permitir que todos los recursos accedan a la aplicación de API.- CORS should not allow every resource to access your API App
- CORS no debe permitir que todos los recursos accedan a Function App.- CORS should not allow every resource to access your Function App
- CORS no debe permitir que todos los recursos accedan a sus aplicaciones web.- CORS should not allow every resource to access your Web Applications
- La directiva del filtro de IP predeterminada debe ser Denegar.- Default IP Filter Policy should be Deny
- El firewall debe estar habilitado en Key Vault.- Firewall should be enabled on Key Vault
- Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red.- Internet-facing virtual machines should be protected with network security groups
-Dispositivos IoT: puertos abiertos en el dispositivo.- IoT Devices - Open Ports On Device
-Dispositivos IoT: se encontró una directiva de firewall permisiva en una de las cadenas.- IoT Devices - Permissive firewall policy in one of the chains was found
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de entrada.- IoT Devices - Permissive firewall rule in the input chain was found
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de salida.- IoT Devices - Permissive firewall rule in the output chain was found
-Intervalo IP amplio de la regla del filtro de IP.- IP Filter rule large IP range
- El reenvío de IP en la máquina virtual debe estar deshabilitado.- IP forwarding on your virtual machine should be disabled
- El servidor de Services Management API de Kubernetes debe configurarse con acceso restringido.- Kubernetes Services Management API server should be configured with restricted access
- Se debe configurar un punto de conexión privado para Key Vault.- Private endpoint should be configured for Key Vault
- El punto de conexión privado debe estar habilitado para servidores MariaDB- Private endpoint should be enabled for MariaDB servers
- El punto de conexión privado debe estar habilitado para servidores MySQL- Private endpoint should be enabled for MySQL servers
- El punto de conexión privado debe estar habilitado para servidores PostgreSQL- Private endpoint should be enabled for PostgreSQL servers
- El acceso a redes públicas debe estar deshabilitado para los servidores de MariaDB.- Public network access should be disabled for MariaDB servers
- El acceso a las redes públicas debe estar deshabilitado para los servidores de MySQL.- Public network access should be disabled for MySQL servers
- El acceso a redes públicas debe estar deshabilitado para los servidores de PostgreSQL.- Public network access should be disabled for PostgreSQL servers
- Los servicios solo deben escuchar en los puertos permitidos.- Services should listen on allowed ports only
- La cuenta de almacenamiento debe usar una conexión con un vínculo privado- Storage account should use a private link connection
- Las cuentas de almacenamiento deben restringir el acceso mediante el uso de las reglas de red virtual.- Storage accounts should restrict network access using virtual network rules
- El uso de puertos y redes de hosts debe estar restringido.- Usage of host networking and ports should be restricted
-Azure Firewall debe proteger las redes virtuales.- Virtual networks should be protected by Azure Firewall
- Las plantillas de Azure VM Image Builder deben usar un vínculo privado.- VM Image Builder templates should use private link

4

4

Habilitación del cifrado de datos en reposo

Enable encryption at rest

El cifrado en reposo proporciona protección de datos para los datos almacenados.
Encryption at rest provides data protection for stored data. Los ataques contra los datos en reposo incluyen intentos de obtener acceso físico al hardware en el que se almacenan los datos.Attacks against data at rest include attempts to gain physical access to the hardware on which the data is stored. Azure usa el cifrado simétrico para cifrar y descifrar grandes cantidades de datos en reposo.Azures use symmetric encryption to encrypt and decrypt large amounts of data at rest. Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el almacenamiento.A symmetric encryption key is used to encrypt data as it is written to storage. Esa clave de cifrado también se utiliza para descifrar los datos tal y como se prepararon para su uso en la memoria.That encryption key is also used to decrypt that data as it is readied for use in memory. Las claves deben almacenarse en una ubicación segura con el control de acceso basado en identidades y directivas de auditoría.Keys must be stored in a secure location with identity-based access control and audit policies. Una ubicación segura es Azure Key Vault.One such secure location is Azure Key Vault. Si un atacante obtiene los datos cifrados pero no las claves de cifrado, no podrá acceder a los datos sin romper el cifrado.If an attacker obtains the encrypted data but not the encryption keys, the attacker can't access the data without breaking the encryption.
- Las variables de cuenta de Automation deben cifrarse.- Automation account variables should be encrypted
-La protección de datos de Bring Your Own Key debe estar habilitada para los servidores MySQL.- Bring your own key data protection should be enabled for MySQL servers
-La protección de datos de Bring Your Own Key debe estar habilitada para los servidores PostgreSQL.- Bring your own key data protection should be enabled for PostgreSQL servers
- El cifrado de discos debe aplicarse en las máquinas virtuales.- Disk encryption should be applied on virtual machines
- Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric.- Service Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
- El cifrado de datos transparente en bases de datos SQL debe estar habilitado.- Transparent Data Encryption on SQL databases should be enabled

4

4

Administración de acceso y permisos

Manage access and permissions

Una parte fundamental de un programa de seguridad es asegurarse de que los usuarios tengan el acceso necesario para realizar sus trabajos, pero no más: el modelo de acceso con privilegios mínimos.
A core part of a security program is ensuring your users have the necessary access to do their jobs but no more than that: the least privilege access model.
Controle el acceso a los recursos mediante la creación de asignaciones de roles con el control de acceso basado en roles de Azure (Azure RBAC).Control access to your resources by creating role assignments with Azure role-based access control (Azure RBAC). Una asignación de roles consta de tres elementos:A role assignment consists of three elements:
- Entidad de seguridad: el objeto al que el usuario solicita acceso.- Security principal: the object the user is requesting access to
- Definición de roles: los permisos.- Role definition: their permissions
- Ámbito: conjunto de recursos a los que se aplican los permisos.- Scope: the set of resources to which the permissions apply
- La autenticación en máquinas Linux debe requerir claves SSH.- Authentication to Linux machines should require SSH keys
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.- Azure Policy Add-on for Kubernetes should be installed and enabled on your clusters
- Se deben evitar los contenedores con elevación de privilegios.- Container with privilege escalation should be avoided
- Se deben evitar los contenedores que comparten espacios de nombres de host confidenciales.- Containers sharing sensitive host namespaces should be avoided
- Las cuentas en desuso deben quitarse de la suscripción.- Deprecated accounts should be removed from your subscription
- Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción.- Deprecated accounts with owner permissions should be removed from your subscription
- Las cuentas externas con permisos de propietario deben quitarse de la suscripción.- External accounts with owner permissions should be removed from your subscription
- Las cuentas externas con permisos de escritura deben quitarse de la suscripción.- External accounts with write permissions should be removed from your subscription
- Las aplicaciones de funciones deben tener la opción de certificados de cliente (certificados de cliente entrantes" habilitada).- Function apps should have Client Certificates (Incoming client certificates) enabled
- La extensión "Configuración de invitado" debe estar instalada en las máquinas.- Guest Configuration extension should be installed on your machines
-Credenciales de autenticación idénticas- Identical Authentication Credentials
- El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse en los contenedores- Immutable (read-only) root filesystem should be enforced for containers
- Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores- Least privileged Linux capabilities should be enforced for containers
- Se debe usar una identidad administrada en la aplicación de API.- Managed identity should be used in your API app
- Se debe usar una identidad administrada en la aplicación de funciones.- Managed identity should be used in your function app
- Se debe usar una identidad administrada en la aplicación web.- Managed identity should be used in your web app
- Deben evitarse los contenedores con privilegios.- Privileged containers should be avoided
- Se debe usar el control de acceso basado en rol en los servicios de Kubernetes.- Role-Based Access Control should be used on Kubernetes Services
- Se debe evitar ejecutar contenedores como usuario raíz.- Running containers as root user should be avoided
- Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente.- Service Fabric clusters should only use Azure Active Directory for client authentication
- Para proteger las suscripciones, deben usarse entidades de servicio en lugar de certificados de administración.- Service principals should be used to protect your subscriptions instead of Management Certificates
- No se debe permitir el acceso público a la cuenta de almacenamiento.- Storage account public access should be disallowed
- Debe haber más de un propietario asignado a la suscripción.- There should be more than one owner assigned to your subscription
- El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de limitar el acceso a los nodos de los contenedores en peligro- Usage of pod HostPath volume mounts should be restricted to a known list to restrict node access from compromised containers
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.- Virtual machines' Guest Configuration extension should be deployed with system-assigned managed identity

4

4

Corrección de configuraciones de seguridad

Remediate security configurations

Los recursos de TI incorrectamente configurados presentan un riesgo mayor de sufrir ataques.
Misconfigured IT assets have a higher risk of being attacked. Al implementar recursos e intentar ajustarse a unos plazos determinados, suelen pasarse por alto acciones de protección básicas.Basic hardening actions are often forgotten when assets are being deployed and deadlines must be met. Puede haber configuraciones de seguridad incorrectas a cualquier nivel de la infraestructura: desde los sistemas operativos y los dispositivos de red hasta los recursos en la nube.Security misconfigurations can be at any level in the infrastructure: from the operating systems and network appliances, to cloud resources.
Azure Security Center compara continuamente la configuración de los recursos con los requisitos de los estándares del sector, las regulaciones y los bancos de pruebas.Azure Security Center continually compares the configuration of your resources with requirements in industry standards, regulations, and benchmarks. Una vez que haya configurado los "paquetes de cumplimiento" (estándares y de referencia) pertinentes para su organización, las carencias darán lugar a recomendaciones de seguridad que incluyen el CCEID y una explicación del posible impacto en la seguridad.When you've configured the relevant "compliance packages" (standards and baselines) that matter to your organization, any gaps will result in security recommendations that include the CCEID and an explanation of the potential security impact.
Los paquetes que se usan habitualmente son Azure Security Benchmark y CIS Microsoft Azure Foundations Benchmark, versión 1.1.0.Commonly used packages are Azure Security Benchmark and CIS Microsoft Azure Foundations Benchmark version 1.1.0.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.- Azure Policy Add-on for Kubernetes should be installed and enabled on your clusters
- Dispositivos IoT: el proceso auditado dejó de enviar eventos.- IoT Devices - Auditd process stopped sending events
- Dispositivos IoT: error de validación de línea base del sistema operativo- IoT Devices - Operating system baseline validation failure
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas- Log Analytics agent health issues should be resolved on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux- Log Analytics agent should be installed on your Linux-based Azure Arc machines
- El agente de Log Analytics debe instalarse en su máquina virtual- Log Analytics agent should be installed on your virtual machine
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales- Log Analytics agent should be installed on your virtual machine scale sets
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows- Log Analytics agent should be installed on your Windows-based Azure Arc machines
-La opción de reemplazar o deshabilitar el perfil de AppArmor de los contenedores debe estar restringida.- Overriding or disabling of containers AppArmor profile should be restricted
-Se deben definir las directivas de seguridad de pod en los servicios de Kubernetes (en desuso).- Pod Security Policies should be defined on Kubernetes Services (Deprecated)
-En la máquina virtual Linux debe estar habilitado el arranque seguro.- Secure Boot should be enabled on your Linux virtual machine
-Se debe dar fe del estado de la integridad de arranque de las máquinas virtuales- Virtual machines should be attested for boot integrity health
- Se deben corregir las vulnerabilidades en las configuraciones de seguridad de contenedor.- Vulnerabilities in container security configurations should be remediated
- Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas.- Vulnerabilities in security configuration on your machines should be remediated
- Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales.- Vulnerabilities in security configuration on your virtual machine scale sets should be remediated

3

3

Aplicación de controles de aplicaciones adaptables

Apply adaptive application control

El control de aplicaciones adaptables (AAC) es una solución de un extremo a otro inteligente y automatizada que permite controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales de Azure y que no son de Azure.
Adaptive application control (AAC) is an intelligent, automated, end-to-end solution, which allows you to control which applications can run on your Azure and non-Azure machines. También ayuda a proteger los equipos frente a malware.It also helps to harden your machines against malware.
Security Center usa el aprendizaje automático para crear una lista de aplicaciones seguras conocidas para un grupo de máquinas.Security Center uses machine learning to create a list of known-safe applications for a group of machines.
Este enfoque innovador de inclusión de aplicaciones en listas ofrece ventajas de seguridad sin la complejidad de la administración.This innovative approach to approved application listing provides the security benefits without the management complexity.
El control de aplicaciones adaptables es especialmente adecuado para servidores específicos que necesitan ejecutar un conjunto concreto de aplicaciones.AAC is particularly relevant for purpose-built servers that need to run a specific set of applications.
- Las máquinas deben tener habilitados controles de aplicaciones adaptables para definir aplicaciones seguras- Adaptive application controls for defining safe applications should be enabled on your machines
- Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables- Allowlist rules in your adaptive application control policy should be updated
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas- Log Analytics agent health issues should be resolved on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux- Log Analytics agent should be installed on your Linux-based Azure Arc machines
- El agente de Log Analytics debe instalarse en su máquina virtual- Log Analytics agent should be installed on your virtual machine
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows- Log Analytics agent should be installed on your Windows-based Azure Arc machines

2

2

Proteja sus aplicaciones con las soluciones para redes avanzadas de Azure.

Protect your applications with Azure advanced networking solutions

-Debe estar habilitada la versión Estándar de Azure DDoS Protection.- Azure DDoS Protection Standard should be enabled
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.- Azure Policy Add-on for Kubernetes should be installed and enabled on your clusters
- Se deben aplicar los límites de CPU y memoria de los contenedores.- Container CPU and memory limits should be enforced
- Web Application Firewall (WAF) debe estar habilitado para Application Gateway.- Web Application Firewall (WAF) should be enabled for Application Gateway
- Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service.- Web Application Firewall (WAF) should be enabled for Azure Front Door Service service

2

2

Habilitación de Endpoint Protection

Enable endpoint protection

Para asegurarse de que los puntos de conexión están protegidos contra malware, los sensores de comportamiento recopilan y procesan datos de los sistemas operativos de los puntos de conexión y envían estos datos a la nube privada para su análisis.
To ensure your endpoints are protected from malware, behavioral sensors collect and process data from your endpoints' operating systems and send this data to the private cloud for analysis. El análisis de seguridad utiliza Big Data, el aprendizaje automático y otras fuentes para recomendar respuestas a las amenazas.Security analytics leverage big-data, machine-learning, and other sources to recommend responses to threats. Por ejemplo, ATP de Microsoft Defender usa la inteligencia sobre amenazas para identificar métodos de ataque y generar alertas de seguridad.For example, Microsoft Defender ATP uses threat intelligence to identify attack methods and generate security alerts.
Security Center admite las siguientes soluciones de protección de los puntos de conexión: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 para Windows, McAfee v10 para Linux y Sophos v9 para Linux.Security Center supports the following endpoint protection solutions: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux and Sophos v9 for Linux. Si Security Center detecta alguna de estas soluciones, dejará de mostrarse la recomendación de instalar protección de puntos de conexión.If Security Center detects any of these solutions, the recommendation to install endpoint protection will no longer appear.
- Los errores de estado de protección de puntos de conexión se deben corregir en los conjuntos de escalado de máquinas virtuales.- Endpoint protection health failures should be remediated on virtual machine scale sets
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas.- Endpoint protection health issues should be resolved on your machines
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas.- Endpoint protection health issues should be resolved on your machines
-La protección de los puntos de conexión debe instalarse en las máquinas.- Endpoint protection should be installed on your machines
- La solución de protección de puntos de conexión se debe instalar en los conjuntos de escalado de máquinas virtuales.- Endpoint protection solution should be installed on virtual machine scale sets
-La supervisión de la integridad de archivos debe estar habilitada en los servidores.- File integrity monitoring should be enabled on servers
- Instale la solución de protección de puntos de conexión en máquinas virtuales.- Install endpoint protection solution on virtual machines
- Instale la solución de protección de puntos de conexión en las máquinas.- Install endpoint protection solution on your machines
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas- Log Analytics agent health issues should be resolved on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux- Log Analytics agent should be installed on your Linux-based Azure Arc machines
- El agente de Log Analytics debe instalarse en su máquina virtual- Log Analytics agent should be installed on your virtual machine
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales- Log Analytics agent should be installed on your virtual machine scale sets
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows- Log Analytics agent should be installed on your Windows-based Azure Arc machines

1

1

Habilitación de la auditoría y el registro

Enable auditing and logging

Los datos de registro proporcionan conclusiones sobre problemas anteriores, evitan problemas potenciales, pueden mejorar el rendimiento de las aplicaciones y proporcionan la capacidad de automatizar acciones que de otro modo deberían realizarse manualmente.
Logging data provides insights into past problems, prevents potential ones, can improve application performance, and provides the ability to automate actions that would otherwise be manual.
Los - registros de control y administración proporcionan información sobre las operaciones de Azure Resource Manager.- Control and management logs provide information about Azure Resource Manager operations.
Los - registros del plano de datos proporcionan información sobre los eventos desencadenados como parte del uso de los recursos de Azure.- Data plane logs provide information about events raised as part of Azure resource usage.
Los - eventos procesados proporcionan información sobre eventos y alertas analizados que se han procesado.- Processed events provide information about analyzed events/alerts that have been processed.
- La auditoría de SQL Server debe estar habilitada.- Auditing on SQL server should be enabled
- Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados.- Diagnostic logs in Azure Data Lake Store should be enabled
- Los registros de diagnóstico de Azure Stream Analytics deben estar habilitados.- Diagnostic logs in Azure Stream Analytics should be enabled
- Los registros de diagnóstico de las cuentas de Batch deben estar habilitados.- Diagnostic logs in Batch accounts should be enabled
- Los registros de diagnóstico de Data Lake Analytics deben estar habilitados.- Diagnostic logs in Data Lake Analytics should be enabled
- Los registros de diagnóstico de Event Hubs deben estar habilitados.- Diagnostic logs in Event Hub should be enabled
- Los registros de diagnóstico de IoT Hub deben estar habilitados.- Diagnostic logs in IoT Hub should be enabled
- Los registros de diagnóstico de Key Vault deben estar habilitados.- Diagnostic logs in Key Vault should be enabled
-Los registros de diagnóstico de los servicios Search deben estar habilitados.- Diagnostic logs in Search services should be enabled
- Los registros de diagnóstico de Service Bus deben estar habilitados.- Diagnostic logs in Service Bus should be enabled
- Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados.- Diagnostic logs in Virtual Machine Scale Sets should be enabled
- Los registros de diagnóstico de las aplicaciones lógicas deben estar habilitados.- Diagnostic logs in your logic apps should be enabled
-Los registros de diagnóstico deben habilitarse en App Service.- Diagnostic logs should be enabled in App Service

0

0

Implementación de procedimientos recomendados de seguridad

Implement security best practices

Las prácticas de seguridad modernas "asumen la brecha" del perímetro de red.
Modern security practices "assume breach" of the network perimeter. Por ese motivo, muchos de los procedimientos recomendados de este control se centran en la administración de identidades.For that reason, many of the best practices in this control focus on managing identities.
La pérdida de claves y credenciales es un problema común.Losing keys and credentials is a common problem. Azure Key Vault protege las claves y los secretos mediante el cifrado de claves, archivos .pfx y contraseñas.Azure Key Vault protects keys and secrets by encrypting keys, .pfx files, and passwords.
Las redes privadas virtuales (VPN) son una forma segura de acceder a las máquinas virtuales.Virtual private networks (VPNs) are a secure way to access your virtual machines. Si no hay VPN disponibles, asegúrese de usar frases de contraseña complejas y la autenticación en dos fases (como Azure AD Multi-Factor Authentication).If VPNs aren't available, use complex passphrases and two-factor authentication such as Azure AD Multi-Factor Authentication. La autenticación en dos fases evita las debilidades inherentes al uso exclusivo de nombres de usuario y contraseñas.Two-factor authentication avoids the weaknesses inherent in relying only on usernames and passwords.
El uso de plataformas sólidas de autenticación y autorización es otro procedimiento recomendado.Using strong authentication and authorization platforms is another best practice. El uso de identidades federadas permite a las organizaciones delegar la administración de identidades autorizadas.Using federated identities allows organizations to delegate management of authorized identities. Esto también es importante cuando los empleados abandonan la empresa y es necesario revocar su acceso.This is also important when employees are terminated, and their access needs to be revoked.
- Debe designar un máximo de tres propietarios para la suscripción.- A maximum of 3 owners should be designated for your subscription
- Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall.- Access to storage accounts with firewall and virtual network configurations should be restricted
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security de la instancia administrada de SQL.- All advanced threat protection types should be enabled in SQL managed instance advanced data security settings
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server.- All advanced threat protection types should be enabled in SQL server advanced data security settings
- Se debe aprovisionar el administrador de Azure Active Directory para servidores SQL Server.- An Azure Active Directory administrator should be provisioned for SQL servers
- Los servicios de API Management deben usar una red virtual.- API Management services should use a virtual network
- La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo- Audit retention for SQL servers should be set to at least 90 days
-El aprovisionamiento automático del agente de Log Analytics debe habilitarse en la suscripción.- Auto provisioning of the Log Analytics agent should be enabled on your subscription
- Azure Backup debería habilitarse en las máquinas virtuales- Azure Backup should be enabled for virtual machines
- Las cuentas de Azure Cosmos DB deben tener reglas de firewall.- Azure Cosmos DB accounts should have firewall rules
-Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo.- Azure Cosmos DB accounts should use customer-managed keys to encrypt data at rest
-Las áreas de trabajo de Azure Machine Learning deben cifrarse con una tecla administrada por el cliente (CMK).- Azure Machine Learning workspaces should be encrypted with a customer-managed key (CMK)
- Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos.- Cognitive Services accounts should enable data encryption
-Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente (CMK).- Cognitive Services accounts should enable data encryption with a customer-managed key (CMK)
- Las cuentas de Cognitive Services deben restringir el acceso a la red.- Cognitive Services accounts should restrict network access
- Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.- Cognitive Services accounts should use customer owned storage or enable data encryption
-Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK).- Container registries should be encrypted with a customer-managed key (CMK)
-La notificación por correo electrónico de las alertas de gravedad alta debe estar habilitada.- Email notification for high severity alerts should be enabled
-La notificación por correo electrónico al propietario de la suscripción en alertas de gravedad alta debe estar habilitada.- Email notification to subscription owner for high severity alerts should be enabled
- Asegúrese de que la aplicación de API tenga la opción "Certificados de clientes (Certificados de clientes entrantes)" activada.- Ensure API app has Client Certificates Incoming client certificates set to On
- Las cuentas externas con permisos de lectura se deben eliminar de la suscripción.- External accounts with read permissions should be removed from your subscription
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB- Geo-redundant backup should be enabled for Azure Database for MariaDB
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL- Geo-redundant backup should be enabled for Azure Database for MySQL
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL- Geo-redundant backup should be enabled for Azure Database for PostgreSQL
- La extensión "Configuración de invitado" debe estar instalada en las máquinas.- Guest Configuration extension should be installed on your machines
- Dispositivo IoT: mensajes infrautilizados de envío del agente.- IoT Devices - Agent sending underutilized messages
- Java debe actualizarse a la versión más reciente en la aplicación de API- Java should be updated to the latest version for your API app
- Java debe actualizarse a la versión más reciente en la aplicación de funciones- Java should be updated to the latest version for your function app
- Java debe actualizarse a la versión más reciente en la aplicación web- Java should be updated to the latest version for your web app
- Las claves de Key Vault deben tener una fecha de expiración.- Key Vault keys should have an expiration date
- Los secretos de Key Vault deben tener una fecha de expiración.- Key Vault secrets should have an expiration date
- Los almacenes de claves deben tener habilitada la protección contra operaciones de purga.- Key vaults should have purge protection enabled
- Los almacenes de claves deben tener habilitada la eliminación temporal.- Key vaults should have soft delete enabled
- Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS.- Kubernetes clusters should be accessible only over HTTPS
- MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción.- MFA should be enabled on accounts with read permissions on your subscription
- El agente de recopilación de datos del tráfico de red debe estar instalado en máquinas virtuales Linux.- Network traffic data collection agent should be installed on Linux virtual machines
- El agente de recopilación de datos del tráfico debe estar instalado en máquinas virtuales Windows.- Network traffic data collection agent should be installed on Windows virtual machines
- Network Watcher debe estar habilitado.- Network Watcher should be enabled
- Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red.- Non-internet-facing virtual machines should be protected with network security groups
- PHP debe actualizarse a la versión más reciente en la aplicación de API- PHP should be updated to the latest version for your API app
- PHP debe actualizarse a la versión más reciente en la aplicación web- PHP should be updated to the latest version for your web app
- Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas.- Private endpoint connections on Azure SQL Database should be enabled
- Debe deshabilitarse el acceso a redes públicas en Azure SQL Database.- Public network access on Azure SQL Database should be disabled
- El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services.- Public network access should be disabled for Cognitive Services accounts
- Python debe actualizarse a la versión más reciente en la aplicación de API- Python should be updated to the latest version for your API app
- Python debe actualizarse a la versión más reciente en la aplicación de funciones- Python should be updated to the latest version for your function app
- Python debe actualizarse a la versión más reciente en la aplicación web- Python should be updated to the latest version for your web app
- Se debe desactivar la depuración remota para la aplicación de API.- Remote debugging should be turned off for API App
- Se debe desactivar la depuración remota para Function App.- Remote debugging should be turned off for Function App
- Se debe desactivar la depuración remota para las aplicaciones web.- Remote debugging should be turned off for Web Applications
-Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo.- SQL managed instances should use customer-managed keys to encrypt data at rest
-Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo.- SQL servers should use customer-managed keys to encrypt data at rest
- Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager.- Storage accounts should be migrated to new Azure Resource Manager resources
-Las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado.- Storage accounts should use customer-managed key (CMK) for encryption
- Las subredes deben estar asociadas con un grupo de seguridad de red.- Subnets should be associated with a network security group
- Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad.- Subscriptions should have a contact email address for security issues
- El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses.- Validity period of certificates stored in Azure Key Vault should not exceed 12 months
- Se deben migrar las máquinas virtuales a los nuevos recursos de Azure Resource Manager.- Virtual machines should be migrated to new Azure Resource Manager resources
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.- Virtual machines' Guest Configuration extension should be deployed with system-assigned managed identity
- Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes- Web apps should request an SSL certificate for all incoming requests
- La protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.- Windows Defender Exploit Guard should be enabled on your machines
- Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros.- Windows web servers should be configured to use secure communication protocols

0

0

Aplicación de la clasificación de datos

Apply data classification

La clasificación de los datos de su organización por confidencialidad e impacto empresarial le permite determinar y asignar valor a los datos, y proporciona la estrategia y la base para la gobernanza.
Classifying your organization's data by sensitivity and business impact allows you to determine and assign value to the data, and provides the strategy and basis for governance.
Azure Information Protection puede ayudarle a clasificar los datos.Azure Information Protection can assist with data classification. Este servicio usa directivas de cifrado, identidad y autorización para proteger los datos y restringir el acceso a ellos.It uses encryption, identity, and authorization policies to protect data and restrict data access. Algunas de las clasificaciones que Microsoft utiliza son No empresarial, Público, General, Confidencial y Extremadamente confidencial.Some classifications that Microsoft uses are Non-business, Public, General, Confidential, and Highly Confidential.
- Los datos confidenciales de las bases de datos SQL deben clasificarse- Sensitive data in your SQL databases should be classified

0

0

Habilitación de Protección contra amenazas avanzada

Enable Advanced Threat Protection

Los planes opcionales de protección contra amenazas de Azure Defender de Azure Security Center proporcionan defensas completas para el entorno.
Azure Security Center's optional Azure Defender threat protection plans provide comprehensive defenses for your environment. Cuando Security Center detecta una amenaza en cualquiera de las áreas del entorno, genera una alerta.When Security Center detects a threat in any area of your environment, it generates an alert. Estas alertas describen los detalles de los recursos afectados, los pasos de corrección sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica como respuesta.These alerts describe details of the affected resources, suggested remediation steps, and in some cases an option to trigger a logic app in response.
Cada plan de Azure Defender es una oferta independiente y opcional que puede habilitar con la recomendación correspondiente en este control de seguridad.Each Azure Defender plan is a separate, optional offering which you can enable using the relevant recommendation in this security control.
Más información sobre la protección contra amenazas en Security Center.Learn more about threat protection in Security Center.
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Azure Defender instalada.- Azure Arc enabled Kubernetes clusters should have Azure Defender's extension installed
- Se debe habilitar Azure Defender para App Service.- Azure Defender for App Service should be enabled
-Se debe habilitar Azure Defender para servidores de Microsoft Azure SQL Database.- Azure Defender for Azure SQL Database servers should be enabled
-Se debe habilitar Azure Defender para registros de contenedor.- Azure Defender for container registries should be enabled
-Se debe habilitar Azure Defender para Key Vault.- Azure Defender for Key Vault should be enabled
-Se debe habilitar Azure Defender para Kubernetes.- Azure Defender for Kubernetes should be enabled
-Se debe habilitar Azure Defender para servidores.- Azure Defender for servers should be enabled
-Se debe habilitar Azure Defender para servidores SQL Server en las máquinas.- Azure Defender for SQL servers on machines should be enabled
-Se debe habilitar Azure Defender para Storage.- Azure Defender for Storage should be enabled

Preguntas frecuentes sobre la puntuación de seguridadSecure score FAQ

Si solo se corrigen tres de las cuatro recomendaciones de un control de seguridad, ¿cambiará mi puntuación de seguridad?If I address only three out of four recommendations in a security control, will my secure score change?

No.No. No cambiará hasta que corrija todas las recomendaciones para un único recurso.It won't change until you remediate all of the recommendations for a single resource. Para obtener la puntuación máxima de un control, debe corregir todas las recomendaciones de todos los recursos.To get the maximum score for a control, you must remediate all recommendations, for all resources.

Si una recomendación no es aplicable a mí y la deshabilito en la directiva, ¿se cumplirá mi control de seguridad y se actualizará mi puntuación de seguridad?If a recommendation isn't applicable to me, and I disable it in the policy, will my security control be fulfilled and my secure score updated?

Sí.Yes. Se recomienda deshabilitar las recomendaciones cuando no son aplicables a su entorno.We recommend disabling recommendations when they're inapplicable in your environment. Para obtener instrucciones sobre cómo deshabilitar una recomendación específica, consulte Deshabilitar las directivas de seguridad.For instructions on how to disable a specific recommendation, see Disable security policies.

Si un control de seguridad ofrece cero puntos a mi puntuación de seguridad, ¿debería ignorarlo?If a security control offers me zero points towards my secure score, should I ignore it?

En algunos casos verá una puntuación máxima del control mayor que cero, pero el impacto es nulo.In some cases, you'll see a control max score greater than zero, but the impact is zero. Cuando la puntuación incremental para corregir recursos es insignificante, se redondea a cero.When the incremental score for fixing resources is negligible, it's rounded to zero. Aún así, no ignore estas recomendaciones ya que pueden aportarle mejoras en seguridad.Don't ignore these recommendations as they still bring security improvements. La única excepción es el control de "procedimiento recomendado adicional".The only exception is the "Additional Best Practice" control. La corrección de estas recomendaciones no aumentará la puntuación, pero mejorará la seguridad en general.Remediating these recommendations won't increase your score, but it will enhance your overall security.

Pasos siguientesNext steps

En este artículo se describe la puntuación de seguridad y los controles de seguridad que presenta.This article described the secure score and the security controls it introduces. Para obtener material relacionado, consulte los siguientes artículos:For related material, see the following articles: