Línea base de seguridad de Azure Active Directory Domain Services

Esta línea base de seguridad aplica las instrucciones descritas en Azure Security Benchmark, versión 2.0, a Azure Active Directory Domain Services. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices relacionadas aplicables a Azure Active Directory Domain Services.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Active Directory Domain Services y aquellos para los que se recomienda la guía global al pie de la letra. Para ver la asignación completa de Azure Active Directory Domain Services a Azure Security Benchmark, consulte el archivo de la asignación completa de la línea base de seguridad de Azure Active Directory.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Cuando implemente recursos de Azure Active Directory Domain Services (Azure AD DS), use una red virtual que ya exista o cree una nueva. Para todas las redes virtuales de Azure, siga un principio de segmentación de la empresa que esté en línea con los riesgos empresariales. ¿Tiene algún sistema que pueda suponer un mayor riesgo para la organización? Aísle ese sistema en su propia red virtual y protéjalo suficientemente con un grupo de seguridad de red (NSG) o Azure Firewall.

Use la protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de NSG que limiten los puertos y las direcciones IP de origen. Incluya reglas de tráfico de redes externas en esas configuraciones de NSG.

En función de las aplicaciones y de la estrategia de segmentación de la empresa, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. ¿Tiene aplicaciones específicas y bien definidas, como una aplicación de 3 niveles? Si es así, puede establecer una denegación altamente segura de forma predeterminada.

Azure AD DS proporciona servicios de autenticación y administración a otras aplicaciones y cargas de trabajo. La conectividad de red es un componente clave. Asegúrese de que ha configurado correctamente los recursos de la red virtual. De lo contrario, las aplicaciones y las cargas de trabajo no podrán comunicarse con las características que proporciona Azure AD DS para usarlas. Planee los requisitos de la red virtual para que Azure AD DS pueda atender a las aplicaciones y las cargas de trabajo según sea necesario.

Use Microsoft Sentinel para detectar el uso de protocolos heredados no seguros, por ejemplo:

  • SSL/TLSv1
  • SMBv1
  • LM/NTLMv1
  • wDigest
  • Enlaces LDAP sin firmar
  • Cifrados débiles en Kerberos

SMBv1 está deshabilitado y no se puede volver a habilitar. Los clientes pueden configurar protocolos como SSL/TLSv1, NTLMv1 y cifrado débil en Kerberos. Algunas aplicaciones y servicios pueden seguir necesitando esos protocolos.

Las reglas de NSG no válidas son la causa más común de los errores de red en Azure AD DS. El NSG de la red virtual debe permitir el acceso a puertos y protocolos específicos. Si estos puertos están bloqueados, la plataforma Azure no puede supervisar ni actualizar el dominio administrado. También se ve afectada la sincronización entre el directorio de Azure AD y Azure AD DS. Mantenga abiertos los puertos predeterminados para evitar la interrupción del servicio.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: Con Azure ExpressRoute o una red privada virtual (VPN) de Azure, puede crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las conexiones a Internet típicas, las conexiones ExpressRoute ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para VPN de punto a sitio y VPN de sitio a sitio, conecte los dispositivos o redes del entorno local a una red virtual. Use cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. Ese tráfico se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Con las etiquetas de servicio de Azure Virtual Network, defina controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Configure estos controles para los recursos de Azure AD DS. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Utilice el nombre de la etiqueta de servicio en el campo de origen o destino de la regla, según proceda, para permitir o denegar el tráfico con el servicio correspondiente. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

¿Tiene dominios administrados que usan una red virtual basada en Resource Manager? Si es así, restrinja el acceso de entrada a este puerto con la etiqueta de servicio "AzureActiveDirectoryDomainServices".

¿Tiene dominios administrados heredados que usan una red virtual basada en el modelo clásico? Si es así, restrinja el acceso de entrada a este puerto para las siguientes direcciones IP de origen:

  • 13.74.249.156

  • 23.101.0.70

  • 52.161.13.95

  • 52.179.126.223

  • 52.180.183.8

  • 52.187.117.83

  • 52.225.184.198

  • 104.40.87.209

  • 104.40.156.18

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como los siguientes:

  • DNS pendientes.
  • Ataques de amplificaciones de DNS
  • Ataques de tipo "poisoning" y suplantación de identidad de DNS.

¿Utiliza Azure DNS como servicio DNS autoritativo? Si es así, proteja los registros y zonas DNS frente a modificaciones accidentales o malintencionadas con el control de acceso basado en rol (RBAC) de Azure y el bloqueo de recursos.

Azure AD DS ofrece el servicio DNS de Windows Server. Si desea obtener más información, consulte la documentación del servicio DNS de Windows Server.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios asignados a estos dos roles pueden delegar roles de administrador:

  • Administrador global y Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD y a los servicios que usan identidades de Azure AD.

  • Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD y en Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y las unidades administrativas.

Nota: ¿Usa roles personalizados? ¿Y ha asignado determinados permisos con privilegios? Si es así, es posible que tenga otros roles críticos que deba controlar. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel alto. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Habilite el acceso con privilegios Just-In-Time (JIT) para los recursos de Azure y Azure AD con Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando haya actividades sospechosas o no seguras en su organización de Azure AD.

Los usuarios con privilegios en Azure AD DS son los que se han unido al grupo "Administradores de controladores de dominio de AAD" en Azure AD. El cliente debe limitar el número de usuarios de este grupo y auditar la actividad que tiene lugar en él.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure AD DS está integrado con RBAC de Azure para administrar sus recursos. Sin embargo, el servicio no admite ninguna cuenta de administración local basada en roles en la instancia de Azure AD DS. Microsoft administra los controladores de dominio subyacentes, ya que los clientes no tienen acceso.

Use las revisiones de acceso de Azure AD para revisar lo siguiente:

  • Pertenencias a grupos.
  • Acceso a las aplicaciones empresariales.
  • Asignaciones de roles para implementar y administrar los recursos de Azure.

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Con el fin de acelerar el proceso de revisión, use también Azure AD PIM para crear un flujo de trabajo de informes de revisión del acceso.

Además, puede configurar Azure PIM para que alerte cuando se cree un número excesivo de cuentas de administrador o detecte cuentas de administrador obsoletas o configuradas incorrectamente.

Responsabilidad: Compartido

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administrador
  • Desarrollador
  • Operador de servicios críticos

Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas, utilice lo siguiente:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Puede administrar de forma centralizada las estaciones de trabajo protegidas para aplicar una configuración segura, lo que incluye:

  • Autenticación sólida
  • Líneas base de software y hardware
  • Acceso lógico y de red restringido

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure AD DS está integrado con RBAC de Azure para administrar sus recursos. Sin embargo, el servicio no admite ninguna cuenta de administración local basada en roles en la instancia de Azure AD DS. Microsoft administra los controladores de dominio subyacentes, ya que los clientes no tienen acceso.

Use RBAC de Azure para administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Asigne estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Puede inventariar o consultar estos roles con herramientas como las siguientes:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM y debe revisarse periódicamente. Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Responsabilidad: Compartido

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Azure AD DS no admite el uso de la Caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Conceda a los equipos de seguridad los permisos de Lector de seguridad en el inquilino y las suscripciones de Azure. Con estos permisos, los equipos de seguridad pueden supervisar los riesgos de seguridad usando Microsoft Defender for Cloud.

En función de cómo estén estructuradas las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local podrían ser responsables de supervisar los riesgos de seguridad. Agregue siempre información de seguridad y riesgos de forma centralizada en una organización.

Puede aplicar permisos de Lector de seguridad de forma general a un inquilino entero (grupo de administración raíz). O bien puede limitar esos permisos a grupos de administración o suscripciones específicas.

Nota: Para obtener visibilidad de las cargas de trabajo y los servicios, es posible que se necesiten permisos adicionales.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Asegúrese de que los equipos de seguridad tengan acceso a un inventario de los recursos en Azure que se actualice continuamente, como Azure AD DS. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a riesgos emergentes. El inventario también es útil como entrada para mejorar continuamente la seguridad. Cree un grupo de Azure AD para que contenga el equipo de seguridad autorizado de la organización. Asígnele acceso de lectura para todos los recursos de Azure AD DS. Puede simplificar esta tarea con una única asignación general de roles en la suscripción.

Para definir una taxonomía lógica, aplique etiquetas a los siguientes elementos:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software de las máquinas virtuales. En Azure Portal, están disponibles los siguientes campos de información:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a las fechas de instalación y otra información, habilite los diagnósticos a nivel del invitado. Después, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Azure AD DS no permite ejecutar aplicaciones ni instalar software en sus recursos. Describa cualquier otra característica de la oferta que permita u ofrezca esta funcionalidad, según corresponda.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Con Azure Policy, audite y restrinja los servicios que los usuarios pueden aprovisionar en el entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Use también Azure Monitor para crear reglas que desencadenen alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Con la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud, habilite Microsoft Defender para sus recursos de Azure AD DS. Microsoft Defender para Azure AD DS proporciona una capa adicional de inteligencia de seguridad. Detecta intentos inusuales de acceder a los recursos de Azure AD DS o de aprovecharlos con fines potencialmente malintencionados.

El servicio Azure AD DS utiliza la detección de malware de Windows para la detección y corrección automatizadas de malware. Si se detecta malware, envía una notificación al equipo de seguridad de Azure para analizarla.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: para el análisis de seguridad, habilite y recopile:

  • Registros de recursos de NSG
  • Registros de flujos del grupo de seguridad de red
  • Registros de Azure Firewall
  • Registros de Web Application Firewall (WAF)

Esta recopilación de registros permite:

  • Investigación de incidentes
  • Búsqueda de amenazas
  • Generación de alertas de seguridad

Envíe los registros de flujos en un área de trabajo de Log Analytics en Azure Monitor. Después, use Análisis de tráfico para proporcionar información.

Azure AD DS no genera ni procesa registros de consultas de DNS.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos de Azure AD DS. Los registros de actividad están disponibles automáticamente, pero no contienen operaciones de lectura (GET). Puede usar los registros de actividad para buscar un error durante la solución de problemas. O puede usar los registros para supervisar de qué manera un usuario de su organización ha modificado un recurso.

Azure AD DS no genera actualmente registros de recursos de Azure.

Con las auditorías de seguridad de Azure AD DS, Azure puede transmitir eventos de seguridad a recursos específicos. Estos recursos incluyen:

  • Azure Storage
  • Áreas de trabajo de Azure Log Analytics
  • Centro de eventos de Azure

Después de habilitar los eventos de auditoría de seguridad, Azure AD DS envía todos los eventos auditados de la categoría seleccionada al recurso de destino. El recurso de destino audita la autenticación de todas las cuentas de usuario del directorio, incluidos los administradores.

Con Azure Event Hubs, puede archivar eventos en Azure Storage y transmitir eventos a un software SIEM (o equivalente). O bien puede realizar su propio análisis usando áreas de trabajo de Azure Log Analytics desde Azure Portal.

Responsabilidad: Compartido

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Para cada origen de registro, asegúrese de asignar lo siguiente:

  • Propietario de los datos
  • Guía de acceso
  • Ubicación de almacenamiento
  • Herramientas que se usan para procesar y acceder a los datos
  • Requisitos de retención de datos

Integre los registros de actividad de Azure en su registro central. A través de Azure Monitor, ingiera los registros para agregar los datos de seguridad generados por:

  • Dispositivos de punto de conexión
  • Recursos de red
  • Otros sistemas de seguridad

En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. Después, use cuentas de Azure Storage para el almacenamiento de archivo a largo plazo. Además, habilite e incorpore datos a Microsoft Sentinel o a un sistema SIEM de terceros. Muchas organizaciones eligen Microsoft Sentinel para los datos de acceso frecuente, y Azure Storage para los datos de acceso esporádico.

Para las aplicaciones que se pueden ejecutar en Azure AD DS, reenvíe todos los registros relacionados con la seguridad a su sistema SIEM para una administración centralizada.

Con las auditorías de seguridad de Azure AD DS, Azure puede transmitir eventos de seguridad a recursos específicos. Estos recursos incluyen:

  • Azure Storage
  • Áreas de trabajo de Azure Log Analytics
  • Centro de eventos de Azure

Después de habilitar los eventos de auditoría de seguridad, Azure AD DS envía todos los eventos auditados de la categoría seleccionada al recurso de destino.

Con Azure Event Hubs, puede archivar eventos en Azure Storage y transmitir eventos a un software SIEM (o equivalente). O bien puede realizar su propio análisis usando áreas de trabajo de Azure Log Analytics desde Azure Portal.

Responsabilidad: Compartido

LT-6: Configuración de la retención del almacenamiento de registros

Guía: ¿Usa cuentas de almacenamiento o áreas de trabajo de Log Analytics para almacenar los registros de Azure AD DS? En ese caso, establezca el período de retención de registros de acuerdo con la normativa de cumplimiento de su organización.

Puede usar estas entidades como recurso de destino para realizar auditorías de seguridad de Azure AD DS:

  • Azure Storage
  • Azure Event Hubs
  • Áreas de trabajo de Azure Log Analytics

Estos destinos se pueden combinar. Por ejemplo, puede usar Azure Storage para archivar eventos de auditorías de seguridad. Después, puede usar también un área de trabajo de Azure Log Analytics para analizar e informar sobre la información a corto plazo.

Responsabilidad: Compartido

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure AD DS no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio Azure AD DS se basa en los orígenes de sincronización de hora de Microsoft y esto no se expone a los clientes para configurarlo.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: Creación de configuraciones seguras para los servicios de Azure

Guía: Use una única definición de plano técnico de Azure Blueprints para automatizar la implementación y la configuración de servicios y entornos de aplicaciones, como los siguientes:

  • Plantillas del Administrador de recursos de Azure
  • Controles de RBAC de Azure
  • Directivas

Con el fin de ayudarlo a proteger aún más la configuración de acuerdo con sus necesidades empresariales, Azure AD DS ofrece numerosas opciones de configuración de seguridad.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Con Azure AD DS, establezca y mantenga configuraciones relacionadas con la seguridad mediante PowerShell. Ejecute comandos de PowerShell para asegurarse de que ha deshabilitado los cifrados débiles y la sincronización de hash de contraseña NTLM. Cree comprobaciones periódicas para estas configuraciones con Azure Functions o Logic Apps. Desencadene alertas o notificaciones mediante un flujo automatizado. Después, el equipo de respuesta a incidentes sabrá cuándo se ha modificado o no se ha configurado una opción crítica.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Con Microsoft Defender for Cloud y Azure Policy, cree configuraciones seguras en todos los recursos de proceso, como las máquinas virtuales, los contenedores, etc.

De manera predeterminada, Azure AD DS permite el uso de cifrados, como NTLM v1 y TLS v1. Puede que algunas aplicaciones heredadas necesiten estos cifrados. Pero estos cifrados se consideran débiles y se pueden deshabilitar si no los necesita. Si tiene conectividad híbrida en el entorno local por medio de Azure AD Connect, deshabilite también la sincronización de hash de contraseña NTLM.

Toda la comunicación de los servicios de Azure (como la comunicación con MSGraph o Azure Storage) se realiza a través de SSL y requiere TLS 1.2.

Responsabilidad: Compartido

PV-6: Evaluaciones de vulnerabilidad del software

Guía: Microsoft administra las vulnerabilidades en los sistemas subyacentes que sustentan Azure AD DS.

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos.

Para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía: Azure AD DS no tiene máquinas virtuales ni contenedores orientados al cliente que requieran detección y respuesta de puntos de conexión (EDR). Para satisfacer este control, Azure AD DS no le pide que configure otras opciones ni que implemente ningún servicio adicional.

Responsabilidad: Microsoft

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Azure AD DS no tiene máquinas virtuales ni contenedores orientados al cliente que requieran protección antimalware. Como medida de protección contra el malware, Azure AD DS no le pide que configure otras opciones ni que implemente ningún servicio adicional.

Responsabilidad: Microsoft

ES-3: Asegurarse de que el software antimalware y las firmas están actualizados

Guía: Azure AD DS no tiene máquinas virtuales ni contenedores orientados al cliente que requieran protección antimalware. Como medida de protección contra el malware, Azure AD DS no le pide que configure otras opciones ni que implemente ningún servicio adicional.

Responsabilidad: Microsoft

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Las copias de seguridad diarias se mantienen durante 7 días, y cada tercera copia de seguridad se mantiene durante 30 días. La frecuencia de las copias de seguridad viene determinada por la SKU del cliente.

Responsabilidad: Compartido

BR-2: Cifrado de los datos de copia de seguridad

Guía: Las copias de seguridad diarias se mantienen durante 7 días, y cada tercera copia de seguridad se mantiene durante 30 días. La frecuencia de las copias de seguridad viene determinada por la SKU del cliente. Las copias de seguridad se cifran con Azure Disk Encryption.

Responsabilidad: Compartido

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: La supervisión automatizada garantiza que cada inquilino tenga una copia de seguridad actualizada. ¿Se bloquea el servicio de copias de seguridad debido a una configuración incorrecta? Si esto ocurre, se envía una alerta al propietario del servicio. Azure AD DS no permite claves administradas por el cliente.

Responsabilidad: Microsoft

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Aplique medidas para evitar la pérdida de claves y recuperarse de ella si se produjera. Habilite la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada.

Responsabilidad: Microsoft

Pasos siguientes