Uso de directivas de seguridadWorking with security policies

En este artículo se explica cómo configurar directivas de seguridad y cómo visualizarlas en Security Center.This article explains how security policies are configured, and how to view them in Security Center. Azure Security Center asigna automáticamente sus directivas de seguridad integradas en cada suscripción que se incorpora.Azure Security Center automatically assigns its built-in security policies on each subscription that is onboarded. Puede configurarlas en Azure Policy, que también le permite establecer directivas en grupos de administración y entre varias suscripciones.You can configure them in Azure Policy, which also enables you to set policies across Management groups and across multiple subscriptions.

Para obtener instrucciones sobre cómo establecer directivas con PowerShell, consulte Inicio rápido: Creación de una asignación de directiva para identificar recursos no compatibles mediante el módulo de Azure PowerShell.For instructions on how to set policies using PowerShell, see Quickstart: Create a policy assignment to identify non-compliant resources using the Azure PowerShell module.

Nota

Security Center inició su integración con Azure Policy.Security Center started its integration with Azure Policy. Los clientes existentes se migrarán automáticamente a la nueva iniciativa integrada en Azure Policy, en lugar de las directivas de seguridad anteriores de Security Center.Existing customers will be automatically migrated to the new built-in initiative in Azure Policy, instead of the previous security policies in Security Center. Este cambio no afectará a los recursos ni al entorno, excepto la presencia de la nueva iniciativa en Azure Policy.This change will not affect your resources or environment except the presence of the new initiative in Azure Policy.

¿Qué son las directivas de seguridad?What are security policies?

Una directiva de seguridad define la configuración deseada de las cargas de trabajo. Además, ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o de la empresa.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. En Azure Policy, puede definir directivas para las suscripciones de Azure y adaptarlas al tipo de carga de trabajo o a la confidencialidad de los datos.In Azure Policy, you can define policies for your Azure subscriptions and tailor them to your type of workload or the sensitivity of your data. Por ejemplo, es posible que las aplicaciones que usan datos regulados, como datos personales o de clientes, requieran un mayor nivel de seguridad que otras cargas de trabajo.For example, applications that use regulated data, such as personal data or customer data, might require a higher level of security than other workloads. Para establecer una directiva en varias suscripciones o grupos de administración, debe configurarla en Azure Policy.To set a policy across subscriptions or on Management groups, set them in Azure Policy.

Las directivas de seguridad generan las recomendaciones de seguridad que se muestran en Azure Security Center.Your security policies drive the security recommendations you get in Azure Security Center. Puede supervisar si se cumplen para identificar posibles puntos vulnerables y mitigar amenazas.You can monitor compliance with them to help you identify potential vulnerabilities and mitigate threats. Consulte la lista de directivas de seguridad integradas para más información sobre cómo determinar la opción más adecuada en su caso.For more information about how to determine the option that is appropriate for you, see the list of built-in security policies.

Al habilitar Security Center, la directiva de seguridad integrada en Security Center se refleja en Azure Policy como una iniciativa integrada en la categoría de Security Center.When you enable Security Center, the security policy built-in to Security Center is reflected in Azure Policy as a built-in initiative under the category Security Center. La iniciativa integrada se asigna automáticamente a todas las suscripciones registradas de Security Center (niveles Gratis o Estándar).The built-in initiative is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). La iniciativa integrada contiene solo las directivas de auditoría.The built-in initiative contains only Audit policies.

Grupos de administraciónManagement groups

Si su organización tiene varias suscripciones, puede que necesite una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones.Azure Management Groups provides a level of scope above subscriptions. Las suscripciones se organizan en contenedores llamados "grupos de administración" y aplican sus condiciones de gobernanza a los grupos de administración.You organize subscriptions into containers called "management groups" and apply your governance policies to the management groups. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las directivas que se aplican al grupo de administración.All subscriptions within a management group automatically inherit the policies applied to the management group. Cada directorio tiene un grupo de administración de nivel superior único denominado "raíz".Each directory is given a single top-level management group called the "root" management group. Este grupo de administración raíz está integrado en la jerarquía de manera que contiene todos los grupos de administración y suscripciones.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Este grupo de administración raíz permite que las directivas globales y las asignaciones de control de acceso basado en rol (RBAC) se apliquen en el nivel de directorio.This root management group allows for global policies and RBAC assignments to be applied at the directory level. Para configurar grupos de administración para usarlos con Azure Security Center, siga las instrucciones que se describen en Visibilidad de todos los inquilinos en Azure Security Center.To set up management groups for use with Azure Security Center, follow the instructions in Gain tenant-wide visibility for Azure Security Center.

Nota

Es importante que comprenda la jerarquía de grupos de administración y suscripciones.It’s important that you understand the hierarchy of management groups and subscriptions. Para más información sobre los grupos de administración, la administración raíz y el acceso a grupos de administración, consulte Organización de recursos con grupos de administración de Azure.See Organize your resources with Azure Management Groups to learn more about management groups, root management, and management group access.

¿Cómo funcionan las directivas de seguridad?How security policies work

Security Center crea automáticamente una directiva de seguridad predeterminada para cada una de las suscripciones de Azure.Security Center automatically creates a default security policy for each of your Azure subscriptions. Puede modificar las directivas de Azure Policy para realizar lo siguiente:You can edit the policies in Azure Policy to do the following things:

  • Crear nuevas definiciones de directiva.Create new policy definitions.
  • Asignar directivas entre grupos de administración y suscripciones, que pueden representar una organización entera o una unidad de negocio dentro de la organización.Assign policies across management groups and subscriptions, which can represent an entire organization or a business unit within the organization.
  • Supervisar el cumplimiento de las directivas.Monitor policy compliance.

Para más información sobre Azure Policy, consulte Creación y administración de directivas para aplicar el cumplimiento.For more information about Azure Policy, see Create and manage policies to enforce compliance.

Una directiva de Azure consta de los siguientes componentes:An Azure policy consists of the following components:

  • Una directiva es una regla.A policy is a rule.
  • Una iniciativa es una colección de directivas.An initiative is a collection of policies.
  • Una asignación es la aplicación de una iniciativa o una directiva para un ámbito concreto (grupo de administración, suscripción o grupo de recursos).An assignment is the application of an initiative or a policy to a specific scope (management group, subscription, or resource group).

Visualización de directivas de seguridadView security policies

Para ver las directivas de seguridad de Security Center:To view your security policies in Security Center:

  1. En el panel de Security Center, seleccione Directiva de seguridad.In the Security Center dashboard, select Security policy.

    El panel Administración de directivas

    En la pantalla Administración de directivas, puede ver el número de grupos de administración, suscripciones y áreas de trabajo, así como la estructura del grupo de administración.In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

    Nota

    El panel de Security Center podría mostrar un número de suscripciones en Cobertura de la suscripción superior al que se muestra en Administración de directivas.The Security Center dashboard may show a higher number of subscriptions under Subscription coverage than the number of subscriptions shown under Policy management. En la cobertura de suscripción se muestra el número de suscripciones Estándar, Gratis y "no cubiertas".Subscription coverage shows the number of Standard, Free, and “not covered” subscriptions. Las suscripciones "no cubiertas" no tienen habilitado Security Center y no se muestran en Administración de directivas.The “not covered” subscriptions do not have Security Center enabled and are not displayed under Policy management.

  2. Seleccione el grupo de administración o la suscripción cuyas directivas desea ver.Select the subscription or management group whose policies you want to view.

    • La pantalla Directiva de seguridad refleja la acción realizada por las directivas asignadas en el grupo de administración o la suscripción que ha seleccionado.The Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.
    • En la parte superior, use los vínculos proporcionados para abrir cada asignación de directiva que se aplique al grupo de administración o la suscripción.At the top, use the links provided to open each policy assignment that applies on the subscription or management group. Puede usar los vínculos para obtener acceso a la asignación y editar o deshabilitar la directiva.You can use the links to access the assignment and edit or disable the policy. Por ejemplo, si ve que una asignación de directiva determinada está denegando la protección de puntos de conexión, puede usar el vínculo para acceder a la directiva y editarla o deshabilitarla.For example, if you see that a particular policy assignment is effectively denying endpoint protection, you can use the link to access the policy and edit or disable it.
    • En la lista de directivas, puede ver la aplicación efectiva de la directiva en su suscripción o grupo de administración.In the list of policies, you can see the effective application of the policy on your subscription or management group. Esto significa que se tiene en cuenta la configuración de cada directiva que se aplica al ámbito y se proporciona el resultado acumulado de la acción que realiza la directiva.This means that the settings of each policy that apply to the scope are taken into consideration and you are provided with the cumulative outcome of what action is taken by the policy. Por ejemplo, si en una asignación la directiva está deshabilitada, pero en otra está definida en AuditIfNotExist, el efecto acumulado aplica AuditIfNotExist.For example, if in one assignment the policy is disabled, but in another it is set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. El efecto más activo siempre tiene prioridad.The more active effect always takes precedence.
    • El efecto de las directivas puede ser: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled.The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Para más información sobre cómo se aplican los efectos, consulte Descripción de los efectos de Policy.For more information on how effects are applied, see Understand Policy effects.

    pantalla de la directiva

Nota

Cuando vea directivas asignadas, puede ver varias asignaciones y cómo se configura cada asignación individualmente.When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

Edición de directivas de seguridadEdit security policies

Puede editar la directiva de seguridad predeterminada de cada una de las suscripciones y grupos de administración de Azure en Azure Policy.You can edit the default security policy for each of your Azure subscriptions and management groups in Azure Policy. Para modificar una directiva de seguridad, debe ser propietario o administrador de seguridad de la suscripción o del grupo de administración que la contiene.To modify a security policy, you must be an owner, or security administrator, of the subscription or the containing management group.

Para obtener instrucciones sobre cómo editar una directiva de seguridad en Azure Policy, consulte Creación y administración de directivas para aplicar el cumplimiento.For instructions on how to edit a security policy in Azure Policy, see and Create and manage policies to enforce compliance.

Puede editar directivas de seguridad mediante el portal de Azure Policy, la API REST o con Windows PowerShell.You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell. En el siguiente ejemplo se proporcionan instrucciones para la edición mediante la API REST.The following example provides instructions for editing using REST API.

Deshabilitar las directivas de seguridadDisable security policies

Si la directiva de seguridad predeterminada genera una recomendación que no es pertinente para su entorno, puede deshabilitar la definición de directiva que envía la recomendación para detenerla.If the default security policy is generating a recommendation that is not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. Para más información sobre las recomendaciones, consulte Administración de las recomendaciones de seguridad.For more information about recommendations, see Managing security recommendations.

  1. En Security Center, en DIRECTIVA Y CUMPLIMIENTO, seleccione Directiva de seguridad.In the Security Center, from the Policy & Compliance section, click Security policy.

    administración de directivas

  2. Haga clic en el grupo de administración o de suscripción para el que quiere deshabilitar la recomendación.Click the subscription or management group for which you want to disable the recommendation.

    Nota

    Recuerde que un grupo de administración aplica sus directivas a sus suscripciones.Remember that a management group applies its policies to its subscriptions. Por lo tanto, si deshabilita la directiva de una suscripción y la suscripción pertenece a un grupo de administración que usa la misma directiva, seguirá recibiendo las recomendaciones de directivas.Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. La directiva se seguirá aplicando desde el nivel de administración y las recomendaciones se seguirán generando.The policy will still be applied from the management level and the recommendations will still be generated.

  3. Haga clic en la directiva asignada.Click the assigned policy.

    deshabilitar la directiva

  4. En la sección PARÁMETROS, busque la directiva que invoca la recomendación que quiere deshabilitar y, en la lista desplegable, seleccione DeshabilitadoIn the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    deshabilitar la directiva

  5. Haga clic en Save(Guardar).Click Save.

    Nota

    Los cambios de deshabilitación de directiva pueden tardar hasta 12 horas en surtir efecto.The disable policy changes can take up to 12 hours to take effect.

Configuración de una directiva de seguridad mediante la API RESTConfigure a security policy using the REST API

Como parte de la integración nativa con Azure Policy, Azure Security Center le permite aprovechar la API REST de Azure Policy para crear asignaciones de directivas.As part of the native integration with Azure Policy, Azure Security Center enables you to take advantage Azure Policy’s REST API to create policy assignments. Las siguientes instrucciones le guiarán en la creación de asignaciones de directivas, así como en la personalización de asignaciones existentes.The following instructions walk you through creation of policy assignments, as well as customization of existing assignments.

Conceptos importantes de Azure Policy:Important concepts in Azure Policy:

  • Una definición de directiva es una regla.A policy definition is a rule

  • Una iniciativa es una colección de definiciones de directivas (reglas).An initiative is a collection of policy definitions (rules)

  • Una asignación es una aplicación de una iniciativa o una directiva para un ámbito concreto (grupo de administración o suscripción, entre otros).An assignment is an application of an initiative or a policy to a specific scope (management group, subscription, etc.)

Security Center tiene una iniciativa incorporada que incluye todas las directivas de seguridad.Security Center has a built-in initiative that includes all of its security policies. Para evaluar las directivas de Security Center sobre los recursos de Azure, debe crear una asignación en el grupo de administración o en la suscripción que desee evaluar.In order to assess Security Center’s policies on your Azure resources, you should create an assignment on the management group, or subscription you want to assess.

De forma predeterminada, lºa iniciativa integrada tiene todas las directivas de Security Center habilitadas.The built-in initiative has all of Security Center’s policies enabled by default. Puede elegir deshabilitar ciertas directivas de la iniciativa integrada; por ejemplo, puede aplicar todas las directivas de Security Center excepto firewall de aplicación web, cambiando el valor del parámetro de efecto de la directiva a Deshabilitado.You can choose to disable certain policies from the built-in initiative, for example you can apply all of Security Center’s policies except web application firewall, by changing the value of the policy’s effect parameter to Disabled.

Ejemplos de APIAPI examples

En los siguientes ejemplos, reemplace estas variables:In the following examples, replace these variables:

  • {scope} escriba el nombre del grupo de administración o de suscripción al que está aplicando la directiva.{scope} enter the name of the management group or subscription you are applying the policy to.
  • {policyAssignmentName} escriba el nombre de la asignación de directiva pertinente.{policyAssignmentName} enter the name of the relevant policy assignment.
  • {name} escriba su nombre o el nombre del administrador que ha aprobado el cambio de directiva.{name} enter your name, or the name of the administrator who approved the policy change.

En este ejemplo se muestra cómo asignar la iniciativa integrada de Security Center a una suscripción o grupo de administración.This example shows you how to assign the built-in Security Center initiative on a subscription or management group

   PUT  
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Azure Security Center", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{}, 

   } 

   } 

En este ejemplo se muestra cómo asignar la iniciativa integrada de Security Center a una suscripción, con las siguientes directivas deshabilitadas:This example shows you how to assign the built-in Security Center initiative on a subscription, with the following policies disabled:

  • Actualizaciones del sistema ("systemUpdatesMonitoringEffect")System updates (“systemUpdatesMonitoringEffect”)

  • Configuraciones de seguridad ("systemConfigurationsMonitoringEffect")Security configurations ("systemConfigurationsMonitoringEffect")

  • Protección de extremos ("endpointProtectionMonitoringEffect")Endpoint protection ("endpointProtectionMonitoringEffect")

   PUT https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 
   
   Request Body (JSON) 
   
   { 
   
     "properties":{ 
   
   "displayName":"Enable Monitoring in Azure Security Center", 
   
   "metadata":{ 
   
   "assignedBy":"{Name}" 
   
   }, 
   
   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 
   
   "parameters":{ 
   
   "systemUpdatesMonitoringEffect":{"value":"Disabled"}, 
   
   "systemConfigurationsMonitoringEffect":{"value":"Disabled"}, 
   
   "endpointProtectionMonitoringEffect":{"value":"Disabled"}, 
   
   }, 
   
    } 
   
   } 

En este ejemplo se muestra cómo quitar una asignación:This example shows you how to remove an assignment:

   DELETE   
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

Referencia de los nombres de directiva Policy names reference

Nombre de directiva de Security CenterPolicy name in Security Center El nombre de la directiva aparece en Azure PolicyPolicy name displayed in Azure Policy Nombre de parámetro del efecto de directivaPolicy effect parameter name
Cifrado de SQLSQL Encryption Supervisión de la base de datos SQL sin cifrar en Azure Security CenterMonitor unencrypted SQL database in Azure Security Center sqlEncryptionMonitoringEffectsqlEncryptionMonitoringEffect
Auditoría de SQLSQL Auditing Supervisión de la base de datos SQL no auditada en Azure Security CenterMonitor unaudited SQL database in Azure Security Center sqlAuditingMonitoringEffectsqlAuditingMonitoringEffect
Actualizaciones del sistemaSystem updates Supervisión de las actualizaciones del sistema que faltan en Azure Security CenterMonitor missing system updates in Azure Security Center systemUpdatesMonitoringEffectsystemUpdatesMonitoringEffect
Cifrado de almacenamientoStorage encryption Auditoría de la falta del cifrado de blob de las cuentas de almacenamientoAudit missing blob encryption for storage accounts storageEncryptionMonitoringEffectstorageEncryptionMonitoringEffect
Acceso de red JITJIT Network access Supervisión del posible acceso de red Just-In-Time (JIT) en Azure Security CenterMonitor possible network just-in-time (JIT) access in Azure Security Center jitNetworkAccessMonitoringEffectjitNetworkAccessMonitoringEffect
Controles de aplicación adaptablesAdaptive application controls Supervisión de una posible inclusión de aplicaciones en la lista de permitidos en Azure Security CenterMonitor possible app Whitelisting in Azure Security Center adaptiveApplicationControlsMonitoringEffectadaptiveApplicationControlsMonitoringEffect
Grupos de seguridad de redNetwork security groups Supervisión del acceso de red permisivo en Azure Security CenterMonitor permissive network access in Azure Security Center networkSecurityGroupsMonitoringEffectnetworkSecurityGroupsMonitoringEffect
Configuraciones de seguridadSecurity configurations Supervisión de los puntos vulnerables del sistema operativo en Azure Security CenterMonitor OS vulnerabilities in Azure Security Center systemConfigurationsMonitoringEffectsystemConfigurationsMonitoringEffect
Endpoint ProtectionEndpoint protection Supervisión de la falta de Endpoint Protection en Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center endpointProtectionMonitoringEffectendpointProtectionMonitoringEffect
Cifrado de discosDisk encryption Supervisión de discos de máquinas virtuales sin cifrar en Azure Security CenterMonitor unencrypted VM Disks in Azure Security Center diskEncryptionMonitoringEffectdiskEncryptionMonitoringEffect
Evaluación de vulnerabilidadesVulnerability assessment Supervisión de los puntos vulnerables de máquinas virtuales en Azure Security CenterMonitor VM Vulnerabilities in Azure Security Center vulnerabilityAssessmentMonitoringEffectvulnerabilityAssessmentMonitoringEffect
Firewall de aplicaciones webWeb application firewall Supervisión de la aplicación web desprotegida en Azure Security CenterMonitor unprotected web application in Azure Security Center webApplicationFirewallMonitoringEffectwebApplicationFirewallMonitoringEffect
Firewall de próxima generaciónNext generation firewall Supervisión de puntos de conexión de red desprotegidos en Azure Security CenterMonitor unprotected network endpoints in Azure Security Center

¿Quién puede editar directivas de seguridad?Who can edit security policies?

Security Center usa el control de acceso basado en rol (RBAC), que proporciona roles integrados que se pueden asignar a usuarios, grupos y servicios en Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. Cuando un usuario abre Security Center, solo ve la información relacionada con los recursos a los que tiene acceso.When users open Security Center, they see only information that's related to resources they have access to. Esto significa que a los usuarios se les asigna el rol de propietario, colaborador o lector para la suscripción o el grupo de recursos a los que pertenece un recurso.Which means that users are assigned the role of owner, contributor, or reader to the subscription or resource group that a resource belongs to. Además de estos roles, hay dos roles específicos de Security Center:In addition to these roles, there are two specific Security Center roles:

  • Lector de seguridad: el usuario tiene derecho a visualizar el contenido de Security Center (recomendaciones, alertas, directivas y estados) pero no puede realizar cambios.Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • Administrador de seguridad: tiene los mismos derechos que el lector de seguridad, pero también puede actualizar la directiva de seguridad o descartar recomendaciones y alertas.Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

Pasos siguientesNext steps

En este artículo, ha aprendido cómo editar las directivas de seguridad en Azure Policy.In this article, you learned how to edit security policies in Azure Policy. Para más información sobre Security Center, consulte los siguientes artículos:To learn more about Security Center, see the following articles:

Para más información acerca de Azure Policy, consulte ¿Qué es Azure Policy?To learn more about Azure Policy, see What is Azure Policy?