Uso de directivas de seguridadWorking with security policies

En este artículo se explica cómo configurar directivas de seguridad y cómo visualizarlas en Security Center.This article explains how security policies are configured, and how to view them in Security Center.

Introducción a las directivas de seguridadIntroduction to security policies

Una directiva de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o de empresa.A security policy defines the desired configuration of your workloads and helps ensure you're complying with the security requirements of your company or regulators.

Azure Security Center realiza sus recomendaciones de seguridad en función de las directivas elegidas.Azure Security Center makes its security recommendations based on your chosen policies. Las directivas de Security Center se basan en las iniciativas de directiva creadas en Azure Policy.Security Center policies are based on policy initiatives created in Azure Policy. Puede configurarlas en Azure Policy, que también le permite establecer directivas en grupos de administración y entre varias suscripciones.You can use Azure Policy to manage your policies and to set policies across Management groups and across multiple subscriptions.

Security Center le ofrece las siguientes opciones para trabajar con directivas de seguridad:Security Center offers the following options for working with security policies:

  • Ver y editar la directiva predeterminada integrada: al habilitar Security Center, una iniciativa integrada denominada "ASC default" se asigna automáticamente a todas las suscripciones registradas de Security Center (niveles gratis o estándar).View and edit the built-in default policy - When you enable Security Center, a built-in initiative named 'ASC default' is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). Para personalizar esta iniciativa, puede habilitar o deshabilitar las directivas individuales de la misma.To customize this initiative, you can enable or disable individual policies within it. Consulte la lista de directivas de seguridad integradas para comprender las opciones disponibles.See the list of built-in security policies to understand the options available out-of-the-box.

  • Agregue sus propias directivas personalizadas: si quiere personalizar las iniciativas de seguridad que se aplican a su suscripción, puede hacerlo en Security Center.Add your own custom policies - If you want to customize the security initiatives applied to your subscription, you can do so within Security Center. A continuación, recibirá recomendaciones si las máquinas no siguen las directivas que creó.You'll then receive recommendations if your machines don't follow the policies you create. Para obtener instrucciones sobre la creación y asignación de directivas personalizadas, consulte Uso de las directivas de seguridad personalizadas.For instructions on building and assigning custom policies, see Using custom security policies.

  • Agregar directivas de cumplimiento normativo: el panel de cumplimiento normativo de Security Center muestra el estado de todas las evaluaciones del entorno, en el contexto de una normativa o estándar determinado (por ejemplo, Azure CIS, NIST SP 800-53 R4 o SWIFT CSP CSCF-v2020).Add regulatory compliance policies - Security Center's regulatory compliance dashboard shows the status of all the assessments within your environment in the context of a particular standard or regulation (such as Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020). Para obtener más información, consulte Mejora del cumplimiento normativo.For more information, see Improve your regulatory compliance.

Administración de las directivas de seguridadManaging your security policies

Para ver las directivas de seguridad de Security Center:To view your security policies in Security Center:

  1. En el panel de Security Center, seleccione Directiva de seguridad.In the Security Center dashboard, select Security policy.

    El panel Administración de directivas

    En la pantalla Administración de directivas, puede ver el número de grupos de administración, suscripciones y áreas de trabajo, así como la estructura del grupo de administración.In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

  2. Seleccione el grupo de administración o la suscripción cuyas directivas desea ver.Select the subscription or management group whose policies you want to view.

  3. Aparecerá la página de directiva de seguridad de la suscripción o el grupo de administración.The security policy page for that subscription or management group appears. Esta muestra las directivas disponibles y asignadas.It shows the available and assigned policies.

    pantalla de la directiva

    Nota

    Si hay una etiqueta "MG Inherited" junto a la directiva predeterminada, significa que la directiva se ha asignado a un grupo de administración y que la ha heredado la suscripción que está viendo.If there is a label "MG Inherited" alongside your default policy, it means that the policy has been assigned to a management group and inherited by the subscription you're viewing.

  4. Elija entre las opciones disponibles en esta página:Choose from the available options on this page:

    1. Para usar directivas del sector, haga clic en Agregar más estándares.To work with industry policies, click Add more standards. Para obtener más información, consulte Actualizar a los paquetes de cumplimiento dinámicos.For more information, see Update to dynamic compliance packages.

    2. Para asignar y administrar iniciativas personalizadas, haga clic en Agregar iniciativas personalizadas.To assign and manage custom initiatives, click Add custom initiatives. Para obtener más información, consulte Usar directivas de seguridad personalizadas.For more information, see Using custom security policies.

    3. Para ver y editar la directiva predeterminada, haga clic en Ver directivas vigentes y continúe tal como se describe a continuación.To view and edit the default policy, click View effective policy and proceed as described below.

      pantalla de la directiva

      La pantalla de directiva de seguridad refleja las acciones que realizaron las directivas asignadas en el grupo de administración o la suscripción que seleccionó.This Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.

      • En la parte superior, use los vínculos proporcionados para abrir cada asignación de directiva que se aplique al grupo de administración o la suscripción.Use the links at the top to open a policy assignment that applies on the subscription or management group. Puede usar esos vínculos para obtener acceso a la asignación y editar o deshabilitar la directiva.These links let you access the assignment and edit or disable the policy. Por ejemplo, si ve que una asignación de directiva determinada está denegando la protección de puntos de conexión, puede usar el vínculo para editar o deshabilitar la directiva.For example, if you see that a particular policy assignment is effectively denying endpoint protection, use the link to edit or disable the policy.

      • En la lista de directivas, puede ver la aplicación efectiva de la directiva en su suscripción o grupo de administración.In the list of policies, you can see the effective application of the policy on your subscription or management group. Esto significa que se tiene en cuenta la configuración de cada directiva que se aplica al ámbito y se proporciona el resultado acumulado de la acción que realiza esa directiva.The settings of each policy that apply to the scope are taken into consideration and the cumulative outcome of actions taken by the policy is shown. Por ejemplo, si en una asignación la directiva está deshabilitada, pero en otra está definida en AuditIfNotExist, el efecto acumulado aplica AuditIfNotExist.For example, if in one assignment of the policy is disabled, but in another it's set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. El efecto más activo siempre tiene prioridad.The more active effect always takes precedence.

      • El efecto de las directivas puede ser: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled.The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Para más información sobre cómo se aplican los efectos, consulte Descripción de los efectos de Policy.For more information on how effects are applied, see Understand Policy effects.

      Nota

      Cuando vea directivas asignadas, puede ver varias asignaciones y cómo se configura cada asignación individualmente.When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

¿Quién puede editar directivas de seguridad?Who can edit security policies?

Puede editar directivas de seguridad mediante el portal de Azure Policy, la API REST o con Windows PowerShell.You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell.

Security Center usa el control de acceso basado en rol (RBAC), que proporciona roles integrados que se pueden asignar a usuarios, grupos y servicios en Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. Cuando un usuario abre Security Center, solo ve la información relacionada con los recursos a los que tiene acceso.When users open Security Center, they see only information that's related to resources they have access to. Esto significa que a los usuarios se les asigna el rol de propietario, colaborador o lector para la suscripción del recurso.Which means that users are assigned the role of owner, contributor, or reader to the resource's subscription. Además de estos roles, existen dos roles específicos de Security Center:As well as these roles, there are two specific Security Center roles:

  • Lector de seguridad: el usuario tiene derecho a visualizar el contenido de Security Center (recomendaciones, alertas, directivas y estados) pero no puede realizar cambios.Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • Administrador de seguridad: tiene los mismos derechos que el lector de seguridad, pero también puede actualizar la directiva de seguridad o descartar recomendaciones y alertas.Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

Deshabilitar las directivas de seguridadDisable security policies

Si la directiva de seguridad predeterminada genera una recomendación que no es pertinente para su entorno, puede deshabilitar la definición de directiva que envía la recomendación para detenerla.If the default security policy is generating a recommendation that's not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. Para más información sobre las recomendaciones, consulte Administración de las recomendaciones de seguridad.For more information about recommendations, see Managing security recommendations.

  1. En Security Center, en DIRECTIVA Y CUMPLIMIENTO, seleccione Directiva de seguridad.In the Security Center, from the Policy & Compliance section, click Security policy.

    administración de directivas

  2. Haga clic en el grupo de administración o de suscripción para el que quiere deshabilitar la recomendación.Click the subscription or management group for which you want to disable the recommendation.

    Nota

    Recuerde que un grupo de administración aplica sus directivas a sus suscripciones.Remember that a management group applies its policies to its subscriptions. Por lo tanto, si deshabilita la directiva de una suscripción y la suscripción pertenece a un grupo de administración que usa la misma directiva, seguirá recibiendo las recomendaciones de directivas.Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. La directiva se seguirá aplicando desde el nivel de administración y las recomendaciones se seguirán generando.The policy will still be applied from the management level and the recommendations will still be generated.

  3. Haga clic en Ver directiva efectiva.Click View effective policy.

    deshabilitar la directiva

  4. Haga clic en la directiva asignada.Click the assigned policy.

    deshabilitar la directiva

  5. En la sección PARÁMETROS, busque la directiva que invoca la recomendación que quiere deshabilitar y, en la lista desplegable, seleccione DeshabilitadoIn the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    deshabilitar la directiva

  6. Haga clic en Save(Guardar).Click Save.

    Nota

    Los cambios de deshabilitación de directiva pueden tardar hasta 12 horas en surtir efecto.The disable policy changes can take up to 12 hours to take effect.

Pasos siguientesNext steps

En este artículo obtuvo información sobre las directivas de seguridad.In this article, you learned about security policies. Para obtener más información relacionada, consulte los siguientes artículos:For related information, see the following articles: