Línea base de seguridad de Azure para servidores habilitados para Azure Arc

Esta línea base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a servidores habilitados para Azure Arc. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y de las guías relacionadas, aplicables a los servidores habilitados para Azure Arc.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a los servidores habilitados para Azure Arc, y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo los servidores habilitados para Azure Arc se asignan completamente a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de los servidores habilitados para Azure Arc.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: los servidores habilitados para Azure Arc no admiten la implementación directa en una red virtual. No se pueden aplicar ciertas características de red a los recursos de la oferta. Estos recursos incluyen grupos de seguridad de red (NSG), tablas de rutas u otros dispositivos dependientes de la red (como un Azure Firewall).

Asegúrese de que el agente de Azure Connected Machine que se ejecuta en el servidor puede comunicarse con el servicio Azure Arc, a través del puerto TCP 443 (HTTPS).

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: mediante Azure ExpressRoute o la red privada virtual (VPN) de Azure, cree conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las típicas conexiones a Internet, estas conexiones ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual. Use cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: no aplicable; los servidores habilitados para Azure Arc no exponen ningún punto de conexión a redes externas, cuya seguridad necesita protecciones de red convencionales.

Los servidores habilitados para Azure Arc no admiten la implementación directa en una red virtual. Por lo tanto, las características de red tradicionales no impedirán los ataques por denegación de servicio (DDoS) con características nativas de red de Azure, como DDoS Protection Standard.

Los servidores habilitados para Azure Arc no están diseñados para ejecutar aplicaciones web. No necesita ninguna configuración adicional ni implementar ningún otro servicio de red para protegerlos frente a ataques de red externos destinados a aplicaciones web.

Responsabilidad: Customer

NS-5: implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS)

Guía: no aplicable; los servidores habilitados para Azure Arc no admiten la implementación en una red virtual. No se pueden configurar esos servidores con una solución IDS o IPS para detectar o evitar amenazas en la red.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: mediante las etiquetas de servicio de red virtual de Azure, defina los controles de acceso a la red, en los Azure Firewall o en los NSG configurados para sus recursos de servidor habilitados para Azure Arc. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en un campo de regla de origen o destino, puede permitir o denegar el tráfico de un servicio. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio conforme cambian las direcciones.

Las siguientes etiquetas de servicio resumen los intervalos IP a los que tiene acceso el agente de Azure Connected Machine que se ejecuta en el servidor:

  • AzureArcInfrastructure
  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureStorage

Configure estas etiquetas de servicio como reglas de salida en el firewall local o en el de la nube.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: los servidores habilitados para Azure Arc usan Azure Active Directory (Azure AD) como el servicio predeterminado de administración de identidades y acceso. Estandarice Azure AD para controlar la administración de identidades y accesos de su organización en:

  • Recursos de Microsoft Cloud, por ejemplo:
    • Azure portal
    • Azure Storage
    • Azure Virtual Machine (Linux y Windows)
    • Azure Key Vault
    • Plataforma como servicio (PaaS)
    • Aplicaciones de software como servicio (SaaS)
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

Asegúrese de que la protección de Azure AD tenga la máxima prioridad en las prácticas de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad. Esta puntuación le ayuda a evaluar su posición de seguridad de la identidad, en relación con los procedimientos recomendados de Microsoft. Use esta puntuación para medir el nivel de coincidencia entre su configuración y los procedimientos recomendados. Úsela también para incorporar mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas. Con esta característica, los usuarios que no tengan una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Dos roles integrados pueden ayudarle a administrar servidores habilitados para Azure Arc con privilegios mínimos:

  • El rol de Incorporación de Azure Connected Machine permite a los usuarios registrar nuevas máquinas como servidores habilitados para Azure Arc. Sin embargo, una vez creada la máquina, no permite a los usuarios administrarla. Asigne este rol solo a las cuentas de servicio que use para registrar automáticamente servidores con Azure Arc.
  • El rol de Administrador de Azure Connected Machine concede acceso total a un servidor habilitado para Azure Arc. Un usuario al que se ha asignado este rol puede:
    • Registrar nuevos servidores.
    • Implementar y administrar extensiones en el servidor.
    • Eliminar el recurso.
    • Conceder permiso para crear y administrar ámbitos de Private Link en Azure Arc.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: los servidores habilitados para Azure Arc admiten identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, use identidades administradas con servidores habilitados para Azure Arc. Los servidores habilitados para Azure Arc se pueden autenticar de forma nativa, en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se produce a través de una regla predefinida de concesión de acceso. No usa credenciales codificadas de forma rígida en archivos de configuración o código fuente.

A todo servidor habilitado para Azure Arc se le asigna automáticamente una identidad administrada única, asignada por el sistema. Esta identidad es utilizada por:

  • El agente de Azure Connected Machine.
  • Extensiones.
  • Aplicaciones que autoriza en la máquina para comunicarse con los servicios de Azure.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: los servidores habilitados para Azure Arc usan Azure AD para proporcionar administración de identidades y acceso a:

  • Recursos de Azure
  • Aplicaciones en la nube
  • Aplicaciones locales

La administración de identidades y acceso incluye identidades empresariales, como empleados, e identidades externas, como:

  • Asociados
  • Proveedores
  • Suppliers

Con esta administración, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización. El SSO funciona tanto en el entorno local como en la nube. Para un acceso seguro y sin problemas, y una mayor visibilidad y control, conecte a Azure AD todos los recursos siguientes:

  • Usuarios
  • Aplicaciones
  • Dispositivos

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IM-4: uso de controles con autenticación sólida para todo el acceso basado en Azure AD

Guía: los servidores habilitados para Azure Arc utilizan Azure AD, que admite controles de autenticación sólida a través de la autenticación multifactor (MFA) y otros métodos seguros sin contraseña.

  • MFA. Habilite Azure AD MFA. Después, siga las recomendaciones de la administración de identidades y acceso de Microsoft Defender for Cloud, para llevar un procedimiento correcto en la configuración de la MFA. En función de las condiciones de inicio de sesión y los factores de riesgo, la MFA se puede aplicar en:
    • Todos los usuarios
    • Seleccionar usuarios
    • Nivel por usuario
  • Autenticación sin contraseña. hay tres opciones de autenticación sin contraseña disponibles, a saber,
    • Windows Hello para empresas.
    • Aplicación Microsoft Authenticator.
    • Métodos de autenticación locales, como tarjetas inteligentes.

Para administradores y usuarios con privilegios, use el nivel más alto del método de autenticación sólida. Después, para otros usuarios, implemente la directiva de autenticación sólida más adecuada.

Los servidores habilitados para Azure Arc admiten la autenticación heredada basada en contraseña. Esta compatibilidad incluye cuentas solo en la nube (cuentas de usuario creadas directamente en Azure), que tienen una directiva de contraseña de línea de base. Además, las cuentas híbridas (cuentas de usuario que proceden del Active Directory local) siguen las directivas de contraseñas locales. Al usar la autenticación basada en contraseña, Azure AD proporciona una funcionalidad de protección de contraseña. Esta funcionalidad impide que los usuarios puedan establecer contraseñas fáciles de adivinar. Microsoft proporciona una lista global de contraseñas prohibidas, que se actualizan en función de la telemetría. Los clientes pueden aumentar la lista en función de sus necesidades, como la personalización de marca o las referencias culturales. Esta protección de contraseñas se puede usar para las cuentas híbridas y solo en la nube.

Nota: la autenticación que solo se basa en las credenciales de contraseña es susceptible a métodos de ataque populares. Para una mayor seguridad, use una autenticación sólida, como la MFA, y una directiva de contraseñas segura. En el caso de las aplicaciones de terceros y los servicios de Marketplace que pueden tener contraseñas predeterminadas, cámbielas durante la configuración inicial del servicio.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.HybridCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.0.1

IM-5: Supervisión y alerta de anomalías de cuenta

Guía: los servidores habilitados por Azure Arc se integran con Azure AD, que proporciona los siguientes orígenes de datos:

  • Inicios de sesión. El informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Registros de auditoría. Los registros de auditoría aportan rastreabilidad para todos los cambios que las distintas características realicen dentro de Azure AD. Entre los ejemplos se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:
    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que podría no ser el propietario legítimo de la cuenta de usuario.
  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Estos orígenes de datos se pueden integrar con:

  • Azure Monitor
  • Microsoft Sentinel
  • Sistemas de administración de eventos e información de seguridad (SIEM) de terceros

Microsoft Defender for Cloud también puede alertarle sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación fallidos o de cuentas en desuso en la suscripción.

Protección contra amenazas avanzada de Azure (ATP) es una solución de seguridad. Puede usar señales de Active Directory para identificar, detectar e investigar:

  • Amenazas avanzadas
  • Identidades en peligro
  • Acciones internas malintencionadas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios asignados a estos dos roles pueden delegar roles de administrador:

  • Administrador global/administrador de empresa. Los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD. Estos usuarios también pueden acceder a los servicios que usan identidades de Azure AD.

  • Administrador de roles con privilegios. Los usuarios con este rol pueden administrar las asignaciones de roles en Azure AD. Estos usuarios también pueden administrar las asignaciones de roles en Azure AD Privileged Identity Management (PIM). Este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban controlarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Limite el número de cuentas o roles con privilegios elevados. Proteja estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y a Azure AD, mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. Cuando haya actividades sospechosas o no seguras en la organización de Azure AD, PIM también puede generar alertas de seguridad.

El rol de Administrador de Azure Connected Machine concede acceso total a los servidores habilitados para Azure Arc. Este acceso incluye la capacidad de implementar agentes y ejecutar scripts en el servidor mediante extensiones de Azure Arc. Trate a los miembros de este rol, y a otros roles con derechos completos para los recursos de Azure Arc, como administradores indirectos del sistema operativo Windows o Linux, que está conectado a Azure Arc.

Responsabilidad: Customer

PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa

Guía: los servidores habilitados para Azure Arc usan el control de acceso basado en rol de Azure (Azure RBAC), para aislar el acceso a los sistemas críticos para la empresa. Restringe el número de cuentas en las que se concede acceso con privilegios a las suscripciones y los grupos de administración en los que se encuentran.

Restrinja el acceso a los sistemas de administración, identidad y seguridad que tengan acceso administrativo a los controles de acceso críticos para la empresa, como:

  • Controladores de Dominio (DC) de Active Directory.
  • Herramientas de seguridad.
  • Herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa.

Si hay atacantes que ponen en peligro estos sistemas de administración y seguridad, pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.

Para garantizar un control de acceso coherente, alinee todos los controles de acceso con la estrategia de segmentación de la empresa.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: dos roles RBAC de Azure AD están diseñados específicamente para servidores habilitados para Azure Arc:

  • Administrador de Azure Connected Machine. Este rol concede:

    • Acceso total al recurso del servidor habilitado para Azure Arc.
    • La capacidad de administrar extensiones en el servidor habilitado para Azure Arc.
    • La capacidad de administrar ámbitos de Private Link en Azure Arc.
  • Incorporación de Azure Connected Machine. Este rol concede acceso suficiente para registrar un servidor con Azure Arc.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-4: Configuración del acceso de emergencia en Azure AD

Guía: los servidores habilitados para Azure Arc usan Azure AD para administrar sus recursos. ¿Le preocupa que se le bloquee accidentalmente el acceso a su organización de Azure AD? Si es así, configure una cuenta de acceso de emergencia, para situaciones en las que no pueda usar cuentas administrativas normales para el acceso. Las cuentas de acceso de emergencia tienen privilegios elevados. No asigne estas cuentas a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones excepcionalmente críticas o de emergencia, en las que no se pueden usar las cuentas administrativas normales.

Proteja las credenciales (como la contraseña, el certificado o la tarjeta inteligente) de las cuentas de acceso de emergencia. Revele las credenciales solo a las personas que estén autorizadas para usarlas en caso de emergencia.

Responsabilidad: Customer

PA-5: Automatización de la administración de derechos

Guía: los servidores habilitados para Azure Arc se integran con Azure AD para administrar sus recursos. Use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitudes de acceso, lo que incluye:

  • Acceso a las asignaciones
  • Revisiones
  • Expiration

También se admite la aprobación en dos o varias fases.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administrador
  • Desarrollador
  • Operador de servicios críticos

Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada, use:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Administre, de forma centralizada, las estaciones de trabajo protegidas para aplicar la configuración protegida, lo que incluye:

  • Autenticación sólida.
  • Bases de referencia de software y hardware.
  • Acceso lógico y de red restringido.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: los servidores habilitados para Azure Arc se integran con Azure RBAC para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Asigne estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Haga un inventario de estos roles o consúltelos mediante herramientas como:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM y se debe revisar periódicamente.

Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Dos roles integrados están diseñados específicamente para su uso con servidores habilitados para Azure Arc:

  • Administrador de Azure Connected Machine: conceda este rol solo a los usuarios que necesiten realizar cambios en servidores habilitados para Azure Arc. Estos cambios incluyen la implementación de agentes o scripts a través de extensiones. Los miembros de este grupo son administradores indirectos de los sistemas operativos del servidor subyacente.
  • Incorporación de Azure Connected Machine. Este rol tiene un conjunto mínimo de permisos, necesarios para registrar un nuevo servidor con Azure Arc. Está pensado para entidades de servicio que se usan con soluciones de incorporación a gran escala.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: no aplicable; los servidores habilitados para Azure Arc no admiten las cajas de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: con Azure RBAC y los controles de acceso basados en red, proteja los datos confidenciales mediante la restricción del acceso a los servidores habilitados para Azure Arc. Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación de la empresa. Además, informe la estrategia de segmentación de su empresa con la ubicación de los sistemas y datos confidenciales o críticos para la empresa.

En la plataforma subyacente administrada por Microsoft, se trata todo el contenido del cliente como confidencial. Protege contra la pérdida y exposición de datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado, de manera predeterminada, algunos controles y funcionalidades de protección de datos.

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico). Con el uso del cifrado, asegúrese de que los atacantes no puedan leer ni modificar fácilmente los datos.

Los servidores habilitados para Azure Arc admiten el cifrado de datos en tránsito con Seguridad de la capa de transporte (TLS) v1.2 o superior.

Aunque el cifrado es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Para el tráfico HTTP, asegúrese de que cualquier cliente que se conecta a los recursos de Azure puede negociar una TLS v1.2 o superior. Evite protocolos sin cifrar para la administración remota. En su lugar. use Secure Shell (SSH) para Linux o Protocolo de escritorio remoto (RDP) y TLS para Windows. Deshabilite los siguientes elementos:

  • Versiones y protocolos obsoletos de:

    • SSL
    • TLS
    • SSH
  • Cifrados débiles

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.HybridCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 3.0.0

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, use el cifrado para proteger los datos en reposo frente a ataques "fuera de banda" (por ejemplo, el acceso al almacenamiento subyacente). De esta manera, los atacantes no pueden leer ni modificar los datos con facilidad. De manera predeterminada, Azure proporciona cifrado de datos en reposo. Azure cifra en reposo los metadatos sobre el servidor (por ejemplo, su nombre de host) y la configuración de extensión que almacena Azure. La configuración protegida de las extensiones también se cifra en reposo, cuando se descarga en el servidor.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: conceda a los equipos de seguridad los permisos de Lector de seguridad en el inquilino y las suscripciones de Azure. De esta manera, los equipos pueden supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de cómo estructure las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local pueden ser responsables de supervisar los riesgos de seguridad. Pero agregue siempre la información y los riesgos de seguridad de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad ampliamente, a todo un inquilino (grupo de administración raíz). O bien puede limitar los permisos a grupos de administración o suscripciones específicas.

Nota: es posible que necesite más permisos para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: dé a los equipos de seguridad acceso a un inventario de recursos actualizado continuamente en Azure; por ejemplo, los servidores habilitados para Azure Arc. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario de recursos también es una entrada para las mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización. Asigne el grupo de acceso de lectura a todos los recursos del servidor habilitado para Azure Arc. Para simplificar el proceso con una única asignación de roles de alto nivel en la suscripción.

Para organizar los elementos de forma lógica en una taxonomía, aplique etiquetas a:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en máquinas virtuales de Azure. La información que está disponible en el Azure Portal incluye:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a las fechas de instalación y otra información, habilite los diagnósticos a nivel del invitado. Después, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Use los controles de aplicaciones adaptables de Microsoft Defender for Cloud para especificar a qué tipos de archivo se aplica una regla o no.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: mediante Azure Policy, audite y restrinja qué servicios pueden aprovisionar los usuarios en el entorno. Para consultar y descubrir recursos dentro de las suscripciones de los usuarios, use Azure Resource Graph. Y, usando Azure Monitor, cree reglas que desencadenen alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

AM-5: limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: con el acceso condicional de Azure, limite la capacidad de los usuarios de interactuar con Azure Resource Manager. Configure "Bloquear el acceso" para la aplicación "Microsoft Azure Management".

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre todo el software de Virtual Machines. La información que está disponible en el Azure Portal incluye:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a la fecha de instalación y otra información, habilite los diagnósticos a nivel de invitado. Después, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario:

  • Inicios de sesión. El informe de inicios de sesión proporciona información sobre el uso de las aplicaciones administradas y las actividades de inicio de sesión de usuario.

  • Registros de auditoría. Los registros de auditoría aportan rastreabilidad para todos los cambios que las distintas características realicen dentro de Azure AD. Entre los ejemplos se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:

    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que podría no ser el propietario legítimo de la cuenta de usuario.

  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Puede ver los registros en los informes de Azure AD. Para casos de uso de supervisión y análisis más sofisticados, puede integrar los registros con:

  • Azure Monitor
  • Microsoft Sentinel
  • Otras herramientas de SIEM o de supervisión

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación fallidos o de cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de:

  • Recursos de procesos individuales de Azure (máquinas virtuales, contenedores y App Service)
  • Recursos de datos (base de datos SQL y almacenamiento)
  • Capas de servicio de Azure

Con esta funcionalidad, puede ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: los servidores habilitados para Azure Arc no están diseñados para implementarse en redes virtuales. Por tanto, no puede habilitar:

  • Registro de flujo de NSG
  • Enrutar el tráfico a través de un firewall
  • Realizar capturas de paquetes

Para admitir las investigaciones de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad, puede habilitar y recopilar los siguientes registros para el análisis de seguridad:

  • Registros de recursos de NSG
  • Registros de flujos del grupo de seguridad de red
  • Registros de Azure Firewall
  • Registros de Web Application Firewall (WAF)

Puede enviar los registros de flujos en un área de trabajo de Log Analytics en Azure Monitor. Después, use Análisis de tráfico para proporcionar información.

Los servidores habilitados para Azure Arc no generan ni procesan registros de consulta de DNS.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos del servidor habilitado para Azure Arc. Estos registros están disponibles automáticamente, pero no incluyen las operaciones de lectura (GET). Puede usar los registros de actividad para buscar un error durante la solución de problemas. O puede usar los registros para supervisar de qué manera un usuario de su organización ha modificado un recurso.

Actualmente, los servidores habilitados para Azure Arc no generan registros de recursos de Azure.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft mantiene los orígenes de la hora para la mayoría de los servicios de PaaS y SaaS de Azure. Para los servidores que se ejecutan fuera de Azure, use un servidor NTP (protocolo de tiempo de red) de confianza para la sincronización de la hora. Si la hora local del servidor se desfasa significativamente de la hora de Azure, el agente de Azure Connected Machine puede dejar de funcionar. Si tiene que instalar su propio servidor NTP, proteja el puerto 123 del servicio UDP. Todos los registros que generan los recursos dentro de Azure proporcionan marcas de tiempo, con la zona horaria especificada de manera predeterminada.

Responsabilidad: Compartido

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

IR-1: Preparación: actualización del proceso de respuesta a incidentes para Azure

Guía: asegúrese de que su organización:

  • Tiene procesos para responder a incidentes de seguridad.
  • Ha actualizado estos procesos para Azure.
  • Los ejecuta periódicamente para garantizar su preparación.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IR-2: Preparación: notificación de incidentes de configuración

Guía: Configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. ¿Qué ocurre si el Centro de respuestas de seguridad de Microsoft (MSRC) descubre que una parte ilegal o no autorizada ha accedido a sus datos? En ese caso, Microsoft usa esa información de contacto para ponerse en contacto con usted. En función de sus necesidades de respuesta a incidentes, puede personalizar la alerta y notificación de incidentes en diferentes servicios de Azure.

Responsabilidad: Customer

IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad

Guía: asegúrese de que cuenta con un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Así, puede aprender lecciones de incidentes anteriores. Céntrese en las alertas que reciben los analistas, para que no pierdan tiempo con falsos positivos.

Al fusionar y correlacionar diversos orígenes de señal, puede compilar alertas de alta calidad basadas en la experiencia de:

  • Incidentes anteriores.
  • Orígenes de la comunidad validados.
  • Herramientas diseñadas para generar y limpiar alertas.

Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Mediante el conector de datos de Microsoft Defender for Cloud, transmita las alertas a Microsoft Sentinel. Con el fin de generar incidentes automáticamente para su investigación, Microsoft Sentinel le permite crear reglas de alerta avanzadas.

Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación. Así podrá identificar los riesgos para los recursos de Azure. Exporte alertas y recomendaciones manualmente. O puede exportar de forma persistente y continua.

Responsabilidad: Customer

IR-4: Detección y análisis: investigación de incidentes

Guía: asegúrese de que los analistas pueden consultar y usar diversos orígenes de datos. Así, los analistas pueden investigar posibles incidentes para compilar una vista completa de lo que ha ocurrido. Para evitar problemas no detectados, recopile diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de exterminio. Capture detalles y aprendizajes para otros analistas y para futuras referencias históricas.

Los orígenes de datos para la investigación incluyen los orígenes de registro centralizados, que ya se recopilan de los servicios en el ámbito y de los sistemas en ejecución. Pero los orígenes de datos también pueden incluir:

  • Datos de red. Para capturar registros de flujo de red y otra información de análisis, use:

    • Registros de flujo de NSG
    • Azure Network Watcher
    • Azure Monitor
  • Instantáneas de sistemas en ejecución:

    • Use la funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.

    • Use la funcionalidad de volcado de la memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.

    • Use la característica de instantánea de los servicios de Azure, o la propia funcionalidad del software, para crear instantáneas de los sistemas en ejecución.

Microsoft Sentinel proporciona un amplio análisis de datos en prácticamente cualquier origen de registro. Proporciona un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. A efectos de seguimiento y elaboración de informes, asocie la información de inteligencia durante una investigación con un incidente.

Responsabilidad: Customer

IR-5: detección y análisis: centrarse en incidentes

Guía: proporcione contexto a los analistas sobre los incidentes en los que deberán centrarse en primer lugar, en función de la gravedad de la alerta y la confidencialidad de los recursos.

Para ayudarle a priorizar qué alertas se deben investigar primero, Microsoft Defender for Cloud asigna un nivel de gravedad a cada alerta. La gravedad se basa en:

  • La confianza de Microsoft Defender for Cloud en la búsqueda.
  • El análisis que se usa para emitir la alerta.
  • El nivel de confianza de que hay intención malintencionada detrás de la actividad que condujo a la alerta.

Además, marque los recursos mediante etiquetas. Cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los recursos que procesan datos confidenciales. Su responsabilidad es resaltar la corrección de las alertas en función de:

  • La importancia crítica de los recursos de Azure.
  • El entorno donde se produjo el incidente.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IR-6: contención, erradicación y recuperación: automatización del control de incidentes

Guía: para acelerar el tiempo de respuesta y reducir la carga de los analistas, automatice las tareas repetitivas y manuales. Las tareas manuales tardan más tiempo en ejecutarse. El tiempo de ejecución más largo ralentiza cada incidente y reduce el número de incidentes que un analista puede controlar. Las tareas manuales también aumentan el agotamiento de los analistas. El agotamiento aumenta el riesgo de error humano, que provoca retrasos. También degrada la capacidad de los analistas de centrarse eficazmente en tareas complejas.

Use las características de automatización de flujos de trabajo de Microsoft Defender for Cloud y Microsoft Sentinel. Estas características pueden desencadenar acciones automáticamente. O bien, las características pueden ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. mediante la toma de acciones como:

  • Enviar notificaciones
  • Deshabilitar cuentas
  • Aislar redes problemáticas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: con Microsoft Defender for Cloud y Azure Policy, cree configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales, los contenedores y otros elementos.

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: con Microsoft Defender for Cloud y Azure Policy, evalúe y corrija periódicamente los riesgos de configuración en los recursos de proceso de Azure. Estos recursos incluyen máquinas virtuales, contenedores y otros elementos. Para mantener la configuración de seguridad del sistema operativo que requiere su organización, use:

  • Plantillas de Azure Resource Manager.
  • Imágenes de sistema operativo personalizadas.
  • State Configuration de Azure Automation.

Las plantillas de máquina virtual de Microsoft, combinadas con State Configuration de Azure Automation, pueden ayudar a cumplir y mantener los requisitos de seguridad.

Las imágenes de máquinas virtuales de Azure Marketplace que publica Microsoft también son administradas y mantenidas por Microsoft.

Microsoft Defender for Cloud puede examinar vulnerabilidades en imágenes de contenedor. Puede supervisar continuamente la configuración de Docker en contenedores respecto al CIS Docker Benchmark. Para ver las recomendaciones y corregir los problemas, puede usar la página de recomendaciones de Microsoft Defender for Cloud.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.HybridCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.1.1-preview
Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.0.1-preview

PV-6: realización de evaluaciones de vulnerabilidad de software

Guía: no aplicable; Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes compatibles con servidores habilitados para Azure Arc.

Responsabilidad: Microsoft

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.HybridCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. AuditIfNotExists, Disabled 1.0.0

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los problemas críticos de seguridad que se encuentren.

Para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: uso de software antimalware moderno y administrado centralmente

Guía: proteja los servidores habilitados para Azure Arc, o sus recursos, con software antimalware moderno y administrado centralmente. Use una solución antimalware para puntos de conexión administrada centralmente, que pueda realizar exámenes periódicos y en tiempo real. Microsoft Defender for Cloud puede:

  • Identificar automáticamente el uso de muchas soluciones antimalware populares para las máquinas virtuales.
  • Informar del estado de ejecución de la protección de los puntos de conexión.
  • Hacer recomendaciones.

Para más información, lea el artículo siguiente:

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.HybridCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 1.1.1

ES-3: asegúrese de actualizar el software y las firmas del antimalware

Guía: actualice las firmas de antimalware de forma rápida y coherente.

Para configurar actualizaciones automáticas y supervisar las máquinas que usan firmas obsoletas, siga las recomendaciones del proveedor de antimalware.

Responsabilidad: Customer

Gobernanza y estrategia

Para más información, consulte Azure Security Benchmark: gobernanza y estrategia.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Guía: asegúrese de documentar y comunicar una estrategia clara para la protección y supervisión continua de sistemas y datos. Para los sistemas y datos críticos para la empresa, concéntrese en:

  • Detección
  • Evaluación
  • Protección
  • Supervisión

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Norma de clasificación de datos que se ajusta a los riesgos empresariales

  • Visibilidad en la organización de seguridad de los riesgos y el inventario de recursos

  • Aprobación de la organización de seguridad de los servicios de Azure para su uso

  • Seguridad de los recursos durante su ciclo de vida

  • Estrategia de control de acceso necesaria, que debe ajustarse a la clasificación de datos de la organización

  • Uso de las funcionalidades de protección de datos nativa de Azure y de terceros

  • Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

  • Normas criptográficas adecuadas

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-2: Definición de una estrategia de segmentación empresarial

Guía: establezca una estrategia que abarque toda la empresa para segmentar el acceso a los recursos, mediante una combinación de:

  • Identidad
  • Red
  • Application
  • Suscripción
  • Grupo de administración
  • Otros controles

Equilibre cuidadosamente:

  • La necesidad de separación de seguridad.
  • La necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Implemente la estrategia de segmentación de forma coherente en todos los tipos de control, lo que incluye:

  • Seguridad de las redes
  • Modelos de identidad y acceso
  • Modelos de accesos y permisos de las aplicaciones
  • Controles de procesos humanos

Para más información, consulte los siguientes vínculos:

Responsabilidad: Customer

GS-3: Definición de la estrategia de administración de la posición de seguridad

Guía: mida y mitigue continuamente los riesgos de los recursos individuales y del entorno en el que se hospedan. Céntrese en recursos de alto valor y en superficies de ataque muy expuestas, como:

  • Aplicaciones publicadas
  • Puntos de entrada y salida de la red
  • Puntos de conexión de usuario y administrador

Para obtener más información, lea el artículo siguiente:

Responsabilidad: Customer

GS-4: Alineación de los roles y responsabilidades de la organización

Guía: documente y comunique una estrategia clara para los roles y las responsabilidades en la seguridad de la organización. Céntrese en proporcionar una responsabilidad clara para:

  • Decisiones de seguridad.
  • Formación de todos los empleados en el modelo de responsabilidad compartida.
  • Formación de los equipos técnicos sobre tecnología para proteger la nube.

Para más información, consulte los siguientes vínculos:

Responsabilidad: Customer

GS-5: Definición de la estrategia de seguridad de red

Guía: establezca un enfoque de seguridad para la red de Azure. Haga que este enfoque forme parte de la estrategia general de su organización para el control de acceso de seguridad.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Centralización de la responsabilidad de seguridad y la administración de redes

  • Modelo de segmentación de la red virtual alineado con la estrategia de segmentación empresarial

  • Estrategia de corrección en diferentes escenarios de amenazas y ataques

  • Estrategia de entrada, salida y perimetral de Internet

  • Estrategia de interconectividad entre el entorno local y la nube híbrida

  • Artefactos de seguridad de red actualizados, como los diagramas de red y la arquitectura de red de referencia

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-6: Definición de la estrategia de acceso con privilegios e identidades

Guía: establezca una identidad de Azure y enfoques de acceso con privilegios. Haga que estos enfoques formen parte de la estrategia general de su organización para el control de acceso de seguridad.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Un sistema de identidad y autenticación centralizado, y su interconectividad con otros sistemas de identidad, internos y externos

  • Métodos de autenticación sólida en diferentes casos de uso y condiciones

  • Protección de usuarios con privilegios elevados

  • Supervisión y control de actividades anómalas del usuario

  • Proceso de revisión y conciliación del acceso y la identidad de los usuarios

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Guía: para detectar y corregir rápidamente las amenazas mientras cumple los requisitos de cumplimiento, cree una estrategia de registro y respuesta a amenazas. Céntrese en proporcionar a los analistas alertas de alta calidad y experiencias fluidas. Así, los analistas pueden centrarse en las amenazas en lugar de en la integración y en los pasos manuales.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)

  • Un proceso de respuesta a incidentes bien definido, que se alinee con un marco del sector, como el National Institute of Standards and Technology (NIST)

  • Captura de registros y retención para admitir:

    • Detección de amenazas
    • Respuesta a los incidentes
    • Necesidades de cumplimiento
  • Visibilidad centralizada e información de correlación sobre amenazas, mediante:

    • SIEM
    • Funcionalidades nativas de Azure
    • Otros orígenes
  • Plan de comunicación y notificación con:

    • Clientes
    • Suppliers
    • Entidades públicas de interés
  • Uso de plataformas nativas de Azure y de terceros para el control de incidentes, como:

    • Registro y detección de amenazas
    • Datos forenses
    • Corrección y erradicación de ataques
  • Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Guía: establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), de acuerdo con los objetivos de resistencia de su negocio

  • Diseño de redundancia en la configuración de la infraestructura y las aplicaciones

  • Protección de la copia de seguridad, mediante el control de acceso y el cifrado de datos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Pasos siguientes