Puntuación de seguridad de Azure Security Center

Introducción a Puntuación de seguridad

Azure Security Center tiene dos objetivos principales:

  • ayudarle a entender su situación de seguridad actual
  • ayudarle a mejorar la seguridad de forma eficaz

La característica principal de Security Center que le ayuda a conseguir estos objetivos es la puntuación de seguridad.

Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de seguridad. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

La puntuación de seguridad se muestra en las páginas de Azure Portal como un valor de porcentaje, pero los valores subyacentes también se presentan claramente:

Puntuación de seguridad general como se muestra en el portal

Para aumentar la seguridad, revise la página de recomendaciones de Security Center en busca de las acciones pendientes necesarias para aumentar la puntuación. Cada recomendación incluye instrucciones para ayudarle a corregir el problema específico.

Las recomendaciones se agrupan en controles de seguridad. Cada control es un grupo lógico de recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables. La puntuación solo mejora cuando corrige todas las recomendaciones para un solo recurso de un control. Para ver cómo protege su organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada control de seguridad.

Para más información, consulte Cálculo de la puntuación de seguridad a continuación.

Cálculo de la puntuación de seguridad

La contribución de cada control de seguridad en la puntuación de seguridad total aparece con claridad en la página de recomendaciones.

La puntuación de seguridad mejorada presenta controles de seguridad

Para obtener todos los puntos posibles de un control de seguridad, todos sus recursos deben cumplir todas las recomendaciones de seguridad de dicho control. Por ejemplo, Security Center tiene varias recomendaciones sobre cómo proteger los puertos de administración. Deberá corregirlas todas para que la puntuación de seguridad mejore.

Por ejemplo, el control de seguridad denominado "Aplicar actualizaciones del sistema" tiene una puntuación máxima de seis puntos, como puede ver en la información sobre herramientas sobre el potencial valor de mejora del control:

Control de seguridad "Aplicar actualizaciones del sistema"

La puntuación máxima para este control, "Aplicar actualizaciones del sistema", es siempre 6. En este ejemplo, hay 50 recursos. Por tanto, dividimos la puntuación máxima entre 50 y el resultado es que cada recurso aporta 0,12 puntos.

  • Mejora potencial (0,12 x 8 recursos con estado incorrecto = 0,96): los puntos restantes disponibles para el usuario en el control. Esto significa que si corrige todas las recomendaciones de este control, la puntuación aumentará en un 2 % (en este caso, 0,96 puntos, que se redondean en 1 punto).
  • Puntuación actual (0,12 x 42 recursos con estado correcto = 5,04): puntuación actual para este control. Cada control contribuye a la puntuación total. En este ejemplo, el control contribuye con 5,04 puntos a la puntuación total de seguridad actual.
  • Puntuación máxima: el número máximo de puntos que puede obtener al completar todas las recomendaciones de un control. La puntuación máxima de un control indica la importancia relativa de ese control. Use los valores de puntuación máxima para evaluar la prioridad de los problemas.

Cálculos: Descripción de la puntuación

Métrica Fórmula y ejemplo
Puntuación actual del control de seguridad
Ecuación para calcular la puntuación de un control de seguridad

Cada control de seguridad individual contribuye a la puntuación de seguridad. Cada recurso afectado por una recomendación dentro del control contribuye a la puntuación actual de este. La puntuación actual de cada control es una medida del estado de los recursos que están dentro del control.
Información sobre herramientas que muestra los valores usados al calcular la puntuación actual del control de seguridad
En este ejemplo, la puntuación máxima de 6 se divide entre 78, ya que esta es la suma de los recursos correctos e incorrectos.
6 / 78 = 0,0769
La multiplicación de esa cifra por el número de recursos correctos (4) da como resultado la puntuación actual:
0.0769 * 4 = 0.31

Puntuación segura
Suscripción única

Ecuación para calcular la puntuación de seguridad de una suscripción

Puntuación de seguridad de una suscripción única con todos los controles habilitados
En este ejemplo, hay una suscripción única con todos los controles de seguridad disponibles (una puntuación máxima posible de 60 puntos). La puntuación muestra 28 puntos de los 60 posibles y los 32 puntos restantes se reflejan en las cifras de "Posible aumento de puntuación" de los controles de seguridad.
Lista de controles y posible aumento de puntuación
Puntuación segura
Varias suscripciones

Ecuación para calcular la puntuación de seguridad de varias suscripciones

Al calcular la puntuación combinada para varias suscripciones, Security Center incluye una ponderación para cada suscripción. Las ponderaciones relativas de las suscripciones se determinan mediante Security Center en función de factores como el número de recursos.
La puntuación actual de cada suscripción se calcula de la misma manera que para una sola suscripción, pero la ponderación se aplica como se muestra en la ecuación.
Cuando se ven varias suscripciones, la puntuación de seguridad evalúa todos los recursos de todas las directivas habilitadas y agrupa su impacto combinado en la puntuación máxima de cada control de seguridad.
Puntuación de seguridad de varias suscripciones con todos los controles habilitados
La puntuación combinada no es un promedio; en vez de eso, es la posición evaluada del estado de todos los recursos de todas las suscripciones.
También en este caso, si va a la página de recomendaciones y suma los puntos posibles disponibles, observará que esta es la diferencia entre la puntuación actual (24) y la puntuación máxima disponible (60).

¿Qué recomendaciones se incluyen en los cálculos de la puntuación de seguridad?

Solo las recomendaciones integradas afectan a la puntuación de seguridad.

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de seguridad. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación.

Un ejemplo de una recomendación en versión preliminar:

Recomendación con la marca de versión preliminar

Mejora de su puntuación de seguridad

Para mejorar la puntuación de seguridad, corrija las recomendaciones de seguridad de la lista de recomendaciones. Puede corregir cada recomendación manualmente para cada recurso o bien usar la opción Corregir (cuando esté disponible) para resolver rápidamente un problema en varios recursos. Para más información, consulte Corrección de recomendaciones.

Otra forma de mejorar la puntuación y de asegurarse de que los usuarios no creen recursos que afecten negativamente a la puntuación es configurar las opciones de aplicar y denegar en las recomendaciones pertinentes. Más información en Evitar errores de configuración con Aplicar/Denegar.

Controles de seguridad y sus recomendaciones

En la tabla siguiente se enumeran los controles de seguridad de Azure Security Center. Para cada control, puede ver el número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control, para todos los recursos.

El conjunto de recomendaciones de seguridad proporcionadas con Security Center se adapta a los recursos disponibles en el entorno de cada organización. Las recomendaciones se pueden personalizar aún más deshabilitando directivas y excluyendo recursos específicos de una recomendación.

Se recomienda que cada organización revise cuidadosamente sus iniciativas de Azure Policy asignadas.

Sugerencia

Para obtener información detallada sobre cómo revisar y editar iniciativas, vea Trabajo con directivas de seguridad.

Aunque la iniciativa de seguridad predeterminada de Security Center se basa en los estándares y procedimientos recomendados del sector, hay escenarios en los que es posible que las recomendaciones integradas que se indican a continuación no se ajusten completamente a su organización. Por lo tanto, a veces será necesario ajustar la iniciativa predeterminada, sin comprometer la seguridad, para asegurarse de que está alineada con las directivas propias de su organización, así como con estándares del sector, estándares normativos y pruebas comparativas que tiene la obligación de cumplir.

Puntuación segura Control de seguridad y descripción Recomendaciones

10

Habilitar MFA

Si para autenticar a un usuario solo usa una contraseña, deja un vector desprotegido frente a los ataques. Si la contraseña es débil o se ha expuesto en otro lugar, ¿cómo saber si es el usuario quien inicia sesión realmente con el nombre de usuario y la contraseña?
Con MFA habilitada, las cuentas son más seguras y los usuarios aún podrán autenticarse en casi cualquier aplicación con inicio de sesión único (SSO).
- MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción.
-MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripción.

8

Protección de los puertos de administración

Los ataques por fuerza bruta tienen como destino los puertos de administración para obtener acceso a una máquina virtual. Dado que no siempre es necesario abrir los puertos, una estrategia de mitigación consiste en reducir la exposición a los puertos mediante controles de acceso a la red Just-in-Time, grupos de seguridad de red y administración de puertos de máquina virtual.
Dado que muchas organizaciones de TI no bloquean las comunicaciones SSH salientes de su red, los atacantes pueden crear túneles cifrados que permitan a los puertos RDP de los sistemas infectados comunicarse con el comando del atacante para controlar los servidores. Los atacantes pueden usar el subsistema de Administración remota de Windows para moverse lateralmente por el entorno y usar credenciales robadas para acceder a otros recursos de una red.
- Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red.
- Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.
- Se deben cerrar los puertos de administración en las máquinas virtuales.

6

Aplicación de actualizaciones del sistema

Las actualizaciones del sistema proporcionan a las organizaciones la capacidad de mantener la eficacia operativa, reducir las vulnerabilidades de seguridad y proporcionar un entorno más estable para los usuarios finales. No aplicar actualizaciones deja vulnerabilidades sin revisiones y da lugar a entornos susceptibles a ataques. Estas vulnerabilidades se pueden aprovechar y provocar problemas como la pérdida de datos, la filtración de datos, el ransomware y el uso abusivo de recursos. Para implementar actualizaciones del sistema, puede usar la solución Update Management para administrar las actualizaciones y las revisiones de las máquinas virtuales. La administración de actualizaciones es el proceso mediante el que se controla la implementación y el mantenimiento de las versiones de software.
- Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable.
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux
- El agente de Log Analytics debe instalarse en su máquina virtual
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows
- La versión del sistema operativo debe actualizarse para los roles de servicio en la nube.
- Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales.
- Se deben instalar las actualizaciones del sistema en las máquinas.
- Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)

6

Corrección de vulnerabilidades

Una vulnerabilidad es un punto débil que un actor de amenazas podría aprovechar para poner en peligro la confidencialidad, la disponibilidad o la integridad de un recurso. La administración de vulnerabilidades reduce la exposición de la organización, protege el área expuesta del punto de conexión, aumenta la resistencia de la organización y reduce la superficie de ataque de los recursos. La administración de amenazas y vulnerabilidades permite detectar errores de configuración de software y seguridad y proporciona recomendaciones para mitigarlos.
- Debe habilitarse una solución de valoración de vulnerabilidades en las máquinas virtuales.
- Azure Defender para SQL debe estar habilitado en las instancias administradas.
- Azure Defender para SQL debe estar habilitado en los servidores SQL Server.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.
- Solo deben implementarse imágenes de contenedor de registros de confianza
- Las vulnerabilidades de las imágenes de Azure Container Registry deben corregirse (con tecnología de Qualys).
- Las vulnerabilidades de las máquinas virtuales deben corregirse.

4

Cifrado de los datos en tránsito

Los datos están "en tránsito" cuando se transfieren datos entre componentes, ubicaciones o programas. Las organizaciones que no protegen los datos en tránsito son susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Para intercambiar datos, se deben usar protocolos SSL/TLS y se recomienda utilizar una VPN. Al enviar datos cifrados entre una máquina virtual de Azure y una ubicación local a través de Internet, puede usar una puerta de enlace de red virtual como Azure VPN Gateway para enviar tráfico cifrado.
- Se debe acceder a la aplicación de API App solo a través de HTTPS.
- La aplicación de una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL
- La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL
- Es necesario exigir FTPS en la aplicación de API
- Es necesario exigir FTPS en la aplicación de funciones
- Es necesario exigir FTPS en la aplicación web
- Acceso a Function App solo a través de HTTPS.
- Solo se deben habilitar las conexiones seguras a Redis Cache.
- Se debe habilitar la transferencia segura a las cuentas de almacenamiento.
- TLS debe actualizarse a la versión más reciente en la aplicación de API
- TLS debe actualizarse a la versión más reciente en la aplicación de funciones
- TLS debe actualizarse a la versión más reciente en la aplicación web
- Acceso a la aplicación web solo a través de HTTPS.

4

Restricción de los accesos de red no autorizados

Los puntos de conexión de una organización proporcionan una conexión directa desde la red virtual a los servicios de Azure compatibles. Las máquinas virtuales de una subred pueden comunicarse con todos los recursos. Para limitar la comunicación hacia y desde todos los recursos de una subred, cree un grupo de seguridad de red y asócielo a la subred. Las organizaciones pueden limitar el tráfico no autorizado y protegerse mediante la creación de reglas de entrada y salida.
-Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet
- En los grupos de seguridad de red asociados a la máquina virtual, todos los puertos de red deben estar restringidos.
- App Configuration debe usar un vínculo privado.
- Azure Cache for Redis debe residir en una red virtual.
- Los dominios de Azure Event Grid deben usar un vínculo privado.
- Los temas de Azure Event Grid deben usar un vínculo privado.
- Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.
- Azure SignalR Service debe usar un vínculo privado.
- Azure Spring Cloud debe usar la inserción de red.
- Las instancias de Container Registry no deben permitir el acceso de red sin restricciones.
- Las instancias de Container Registry deben usar un vínculo privado.
- Los contenedores solo deben escuchar en los puertos permitidos.
- CORS no debe permitir que todos los recursos accedan a la aplicación de API.
- CORS no debe permitir que todos los recursos accedan a Function App.
- CORS no debe permitir que todos los recursos accedan a sus aplicaciones web.
- El firewall debe estar habilitado en Key Vault.
- Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red.
- El reenvío de IP en la máquina virtual debe estar deshabilitado.
- El servidor de Services Management API de Kubernetes debe configurarse con acceso restringido.
- Se debe configurar un punto de conexión privado para Key Vault.
- El punto de conexión privado debe estar habilitado para servidores MariaDB
- El punto de conexión privado debe estar habilitado para servidores MySQL
- El punto de conexión privado debe estar habilitado para servidores PostgreSQL
- El acceso a redes públicas debe estar deshabilitado para los servidores de MariaDB.
- El acceso a las redes públicas debe estar deshabilitado para los servidores de MySQL.
- El acceso a redes públicas debe estar deshabilitado para los servidores de PostgreSQL.
- Los servicios solo deben escuchar en los puertos permitidos.
- La cuenta de almacenamiento debe usar una conexión con un vínculo privado
- Las cuentas de almacenamiento deben restringir el acceso mediante el uso de las reglas de red virtual.
- El uso de puertos y redes de hosts debe estar restringido.
-Azure Firewall debe proteger las redes virtuales.
- Las plantillas de Azure VM Image Builder deben usar un vínculo privado.

4

Habilitación del cifrado de datos en reposo

El cifrado en reposo proporciona protección de datos para los datos almacenados. Los ataques contra los datos en reposo incluyen intentos de obtener acceso físico al hardware en el que se almacenan los datos. Azure usa el cifrado simétrico para cifrar y descifrar grandes cantidades de datos en reposo. Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el almacenamiento. Esa clave de cifrado también se utiliza para descifrar los datos tal y como se prepararon para su uso en la memoria. Las claves deben almacenarse en una ubicación segura con el control de acceso basado en identidades y directivas de auditoría. Una ubicación segura es Azure Key Vault. Si un atacante obtiene los datos cifrados pero no las claves de cifrado, no podrá acceder a los datos sin romper el cifrado.
-La protección de datos de Bring Your Own Key debe estar habilitada para los servidores MySQL.
-La protección de datos de Bring Your Own Key debe estar habilitada para los servidores PostgreSQL.
- El cifrado de discos debe aplicarse en las máquinas virtuales.
- Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric.
- El cifrado de datos transparente en bases de datos SQL debe estar habilitado.

4

Administración de acceso y permisos

Una parte fundamental de un programa de seguridad es asegurarse de que los usuarios tengan el acceso necesario para realizar sus trabajos, pero no más: el modelo de acceso con privilegios mínimos.
Controle el acceso a los recursos mediante la creación de asignaciones de roles con el control de acceso basado en roles de Azure (Azure RBAC). Una asignación de roles consta de tres elementos:
- Entidad de seguridad: el objeto al que el usuario solicita acceso.
- Definición de roles: los permisos.
- Ámbito: conjunto de recursos a los que se aplican los permisos.
- La autenticación en máquinas Linux debe requerir claves SSH.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.
- Se deben evitar los contenedores con elevación de privilegios.
- Se deben evitar los contenedores que comparten espacios de nombres de host confidenciales.
- Las cuentas en desuso deben quitarse de la suscripción.
- Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción.
- Las cuentas externas con permisos de propietario deben quitarse de la suscripción.
- Las cuentas externas con permisos de escritura deben quitarse de la suscripción.
- Las aplicaciones de funciones deben tener la opción de certificados de cliente (certificados de cliente entrantes" habilitada).
- La extensión "Configuración de invitado" debe estar instalada en las máquinas.
- El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse en los contenedores
- Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores
- Se debe usar una identidad administrada en la aplicación de API.
- Se debe usar una identidad administrada en la aplicación de funciones.
- Se debe usar una identidad administrada en la aplicación web.
- Deben evitarse los contenedores con privilegios.
- Se debe usar el control de acceso basado en rol en los servicios de Kubernetes.
- Se debe evitar ejecutar contenedores como usuario raíz.
- Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente.
- Para proteger las suscripciones, deben usarse entidades de servicio en lugar de certificados de administración.
- No se debe permitir el acceso público a la cuenta de almacenamiento.
- El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de limitar el acceso a los nodos de los contenedores en peligro
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.

4

Corrección de configuraciones de seguridad

Los recursos de TI incorrectamente configurados presentan un riesgo mayor de sufrir ataques. Al implementar recursos e intentar ajustarse a unos plazos determinados, suelen pasarse por alto acciones de protección básicas. Puede haber configuraciones de seguridad incorrectas a cualquier nivel de la infraestructura: desde los sistemas operativos y los dispositivos de red hasta los recursos en la nube.
Azure Security Center compara continuamente la configuración de los recursos con los requisitos de los estándares del sector, las regulaciones y los bancos de pruebas. Una vez que haya configurado los "paquetes de cumplimiento" (estándares y de referencia) pertinentes para su organización, las carencias darán lugar a recomendaciones de seguridad que incluyen el CCEID y una explicación del posible impacto en la seguridad.
Los paquetes que se usan habitualmente son Azure Security Benchmark y CIS Microsoft Azure Foundations Benchmark, versión 1.1.0.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux
- El agente de Log Analytics debe instalarse en su máquina virtual
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows
-La opción de reemplazar o deshabilitar el perfil de AppArmor de los contenedores debe estar restringida.
-Se deben definir las directivas de seguridad de pod en los servicios de Kubernetes (en desuso).
-En la máquina virtual Linux debe estar habilitado el arranque seguro.
- Las bases de datos SQL deben tener resueltos los resultados de vulnerabilidades.
- Los servidores SQL de las máquinas deben tener resueltos los resultados de vulnerabilidades.
-Se debe dar fe del estado de la integridad de arranque de las máquinas virtuales
- Se deben corregir las vulnerabilidades en las configuraciones de seguridad de contenedor.
- Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (con tecnología de Guest Config).
- Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas.
- Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales.
- Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (con tecnología de Guest Config).
- La evaluación de vulnerabilidades debe estar habilitada en las instancias administradas de SQL.
- La evaluación de vulnerabilidades debe estar habilitada en sus servidores de SQL Server.

3

Aplicación de controles de aplicaciones adaptables

El control de aplicaciones adaptables (AAC) es una solución de un extremo a otro inteligente y automatizada que permite controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales de Azure y que no son de Azure. También ayuda a proteger los equipos frente a malware.
Security Center usa el aprendizaje automático para crear una lista de aplicaciones seguras conocidas para un grupo de máquinas.
Este enfoque innovador de inclusión de aplicaciones en listas ofrece ventajas de seguridad sin la complejidad de la administración.
El control de aplicaciones adaptables es especialmente adecuado para servidores específicos que necesitan ejecutar un conjunto concreto de aplicaciones.
- Las máquinas deben tener habilitados controles de aplicaciones adaptables para definir aplicaciones seguras
- Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux
- El agente de Log Analytics debe instalarse en su máquina virtual
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows

2

Proteja sus aplicaciones con las soluciones para redes avanzadas de Azure.

-Debe estar habilitada la versión Estándar de Azure DDoS Protection.
- El complemento Azure Policy para Kubernetes debe estar instalado y habilitado en sus clústeres.
- Se deben aplicar los límites de CPU y memoria de los contenedores.
- Web Application Firewall (WAF) debe estar habilitado para Application Gateway.
- Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service.

2

Habilitación de Endpoint Protection

Para asegurarse de que los puntos de conexión están protegidos contra malware, los sensores de comportamiento recopilan y procesan datos de los sistemas operativos de los puntos de conexión y envían estos datos a la nube privada para su análisis. El análisis de seguridad utiliza Big Data, el aprendizaje automático y otras fuentes para recomendar respuestas a las amenazas. Por ejemplo, ATP de Microsoft Defender usa la inteligencia sobre amenazas para identificar métodos de ataque y generar alertas de seguridad.
Security Center admite las siguientes soluciones de protección de los puntos de conexión: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 para Windows, McAfee v10 para Linux y Sophos v9 para Linux. Si Security Center detecta alguna de estas soluciones, dejará de mostrarse la recomendación de instalar protección de puntos de conexión.
- Los errores de estado de protección de puntos de conexión se deben corregir en los conjuntos de escalado de máquinas virtuales.
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas.
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas.
-La protección de los puntos de conexión debe instalarse en las máquinas.
- La solución de protección de puntos de conexión se debe instalar en los conjuntos de escalado de máquinas virtuales.
-La supervisión de la integridad de archivos debe estar habilitada en los servidores.
- Instale la solución de protección de puntos de conexión en máquinas virtuales.
- Instale la solución de protección de puntos de conexión en las máquinas.
- Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc que usan Linux
- El agente de Log Analytics debe instalarse en su máquina virtual
- El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas de Azure Arc que usan Windows

1

Habilitación de la auditoría y el registro

Los datos de registro proporcionan conclusiones sobre problemas anteriores, evitan problemas potenciales, pueden mejorar el rendimiento de las aplicaciones y proporcionan la capacidad de automatizar acciones que de otro modo deberían realizarse manualmente.
Los - registros de control y administración proporcionan información sobre las operaciones de Azure Resource Manager.
Los - registros del plano de datos proporcionan información sobre los eventos desencadenados como parte del uso de los recursos de Azure.
Los - eventos procesados proporcionan información sobre eventos y alertas analizados que se han procesado.
- La auditoría de SQL Server debe estar habilitada.
- Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados.
- Los registros de diagnóstico de Azure Stream Analytics deben estar habilitados.
- Los registros de diagnóstico de las cuentas de Batch deben estar habilitados.
- Los registros de diagnóstico de Data Lake Analytics deben estar habilitados.
- Los registros de diagnóstico de Event Hubs deben estar habilitados.
- Los registros de diagnóstico de Key Vault deben estar habilitados.
-Los registros de diagnóstico de los servicios Search deben estar habilitados.
- Los registros de diagnóstico de Service Bus deben estar habilitados.
- Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados.
- Los registros de diagnóstico de las aplicaciones lógicas deben estar habilitados.
-Los registros de diagnóstico deben habilitarse en App Service.

0

Implementación de procedimientos recomendados de seguridad

Las prácticas de seguridad modernas "asumen la brecha" del perímetro de red. Por ese motivo, muchos de los procedimientos recomendados de este control se centran en la administración de identidades.
La pérdida de claves y credenciales es un problema común. Azure Key Vault protege las claves y los secretos mediante el cifrado de claves, archivos .pfx y contraseñas.
Las redes privadas virtuales (VPN) son una forma segura de acceder a las máquinas virtuales. Si no hay VPN disponibles, asegúrese de usar frases de contraseña complejas y la autenticación en dos fases (como Azure AD Multi-Factor Authentication). La autenticación en dos fases evita las debilidades inherentes al uso exclusivo de nombres de usuario y contraseñas.
El uso de plataformas sólidas de autenticación y autorización es otro procedimiento recomendado. El uso de identidades federadas permite a las organizaciones delegar la administración de identidades autorizadas. Esto también es importante cuando los empleados abandonan la empresa y es necesario revocar su acceso.
- Debe designar un máximo de tres propietarios para la suscripción.
- Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall.
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security de la instancia administrada de SQL.
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server.
- Se debe aprovisionar el administrador de Azure Active Directory para servidores SQL Server.
- Los servicios de API Management deben usar una red virtual.
- La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo
-El aprovisionamiento automático del agente de Log Analytics debe habilitarse en la suscripción.
- Las variables de cuenta de Automation deben cifrarse.
- Azure Backup debería habilitarse en las máquinas virtuales
- Las cuentas de Azure Cosmos DB deben tener reglas de firewall.
-Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo.
-Las áreas de trabajo de Azure Machine Learning deben cifrarse con una tecla administrada por el cliente (CMK).
- Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos.
-Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente (CMK).
- Las cuentas de Cognitive Services deben restringir el acceso a la red.
- Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.
-Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK).
- La directiva del filtro de IP predeterminada debe ser Denegar.
- Los registros de diagnóstico de IoT Hub deben estar habilitados.
-La notificación por correo electrónico de las alertas de gravedad alta debe estar habilitada.
-La notificación por correo electrónico al propietario de la suscripción en alertas de gravedad alta debe estar habilitada.
- Asegúrese de que la aplicación de API tenga la opción "Certificados de clientes (Certificados de clientes entrantes)" activada.
- Las cuentas externas con permisos de lectura se deben eliminar de la suscripción.
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL
- La extensión "Configuración de invitado" debe estar instalada en las máquinas.
-Credenciales de autenticación idénticas
- Dispositivo IoT: mensajes infrautilizados de envío del agente.
- Dispositivos IoT: el proceso auditado dejó de enviar eventos.
-Dispositivos IoT: puertos abiertos en el dispositivo.
- Dispositivos IoT: error de validación de línea base del sistema operativo
-Dispositivos IoT: se encontró una directiva de firewall permisiva en una de las cadenas.
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de entrada.
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de salida.
- Dispositivos IoT: es preciso actualizar el conjunto de cifrado de TLS.
-Intervalo IP amplio de la regla del filtro de IP.
- Java debe actualizarse a la versión más reciente en la aplicación de API
- Java debe actualizarse a la versión más reciente en la aplicación de funciones
- Java debe actualizarse a la versión más reciente en la aplicación web
- Las claves de Key Vault deben tener una fecha de expiración.
- Los secretos de Key Vault deben tener una fecha de expiración.
- Los almacenes de claves deben tener habilitada la protección contra operaciones de purga.
- Los almacenes de claves deben tener habilitada la eliminación temporal.
- Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS.
- MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción.
- El agente de recopilación de datos del tráfico de red debe estar instalado en máquinas virtuales Linux.
- El agente de recopilación de datos del tráfico debe estar instalado en máquinas virtuales Windows.
- Network Watcher debe estar habilitado.
- Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red.
- PHP debe actualizarse a la versión más reciente en la aplicación de API
- PHP debe actualizarse a la versión más reciente en la aplicación web
- Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas.
- Debe deshabilitarse el acceso a redes públicas en Azure SQL Database.
- El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services.
- Python debe actualizarse a la versión más reciente en la aplicación de API
- Python debe actualizarse a la versión más reciente en la aplicación de funciones
- Python debe actualizarse a la versión más reciente en la aplicación web
- Se debe desactivar la depuración remota para la aplicación de API.
- Se debe desactivar la depuración remota para Function App.
- Se debe desactivar la depuración remota para las aplicaciones web.
-Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo.
-Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo.
- Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager.
-Las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado.
- Las subredes deben estar asociadas con un grupo de seguridad de red.
- Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad.
- Debe haber más de un propietario asignado a la suscripción.
- El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses.
- Se deben migrar las máquinas virtuales a los nuevos recursos de Azure Resource Manager.
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.
- Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes
- La protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.
- Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros.

0

Aplicación de la clasificación de datos

La clasificación de los datos de su organización por confidencialidad e impacto empresarial le permite determinar y asignar valor a los datos, y proporciona la estrategia y la base para la gobernanza.
Azure Information Protection puede ayudarle a clasificar los datos. Este servicio usa directivas de cifrado, identidad y autorización para proteger los datos y restringir el acceso a ellos. Algunas de las clasificaciones que Microsoft utiliza son No empresarial, Público, General, Confidencial y Extremadamente confidencial.
- Los datos confidenciales de las bases de datos SQL deben clasificarse

0

Habilitación de Protección contra amenazas avanzada

Los planes opcionales de protección contra amenazas de Azure Defender de Azure Security Center proporcionan defensas completas para el entorno. Cuando Security Center detecta una amenaza en cualquiera de las áreas del entorno, genera una alerta. Estas alertas describen los detalles de los recursos afectados, los pasos de corrección sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica como respuesta.
Cada plan de Azure Defender es una oferta independiente y opcional que puede habilitar con la recomendación correspondiente en este control de seguridad.
Más información sobre la protección contra amenazas en Security Center.
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Azure Defender instalada.
- Se debe habilitar Azure Defender para App Service.
-Se debe habilitar Azure Defender para servidores de Microsoft Azure SQL Database.
-Se debe habilitar Azure Defender para registros de contenedor.
- Se debe habilitar Azure Defender para DNS
-Se debe habilitar Azure Defender para Key Vault.
-Se debe habilitar Azure Defender para Kubernetes.
- Se debe habilitar Azure Defender para Resource Manager
-Se debe habilitar Azure Defender para servidores.
-Se debe habilitar Azure Defender para servidores SQL Server en las máquinas.
-Se debe habilitar Azure Defender para Storage.

Preguntas frecuentes sobre la puntuación de seguridad

Si solo se corrigen tres de las cuatro recomendaciones de un control de seguridad, ¿cambiará mi puntuación de seguridad?

No. No cambiará hasta que corrija todas las recomendaciones para un único recurso. Para obtener la puntuación máxima de un control, debe corregir todas las recomendaciones de todos los recursos.

Si una recomendación no es aplicable a mí y la deshabilito en la directiva, ¿se cumplirá mi control de seguridad y se actualizará mi puntuación de seguridad?

Sí. Se recomienda deshabilitar las recomendaciones cuando no son aplicables a su entorno. Para obtener instrucciones sobre cómo deshabilitar una recomendación específica, consulte Deshabilitar las directivas de seguridad.

Si un control de seguridad ofrece cero puntos a mi puntuación de seguridad, ¿debería ignorarlo?

En algunos casos verá una puntuación máxima del control mayor que cero, pero el impacto es nulo. Cuando la puntuación incremental para corregir recursos es insignificante, se redondea a cero. Aún así, no ignore estas recomendaciones ya que pueden aportarle mejoras en seguridad. La única excepción es el control de "procedimiento recomendado adicional". La corrección de estas recomendaciones no aumentará la puntuación, pero mejorará la seguridad en general.

Pasos siguientes

En este artículo se describe la puntuación de seguridad y los controles de seguridad que presenta. Para obtener material relacionado, consulte los siguientes artículos: