Base de referencia de seguridad de Azure para Automation

Esta línea de base de seguridad aplica la guía de la versión 2.0 de Azure Security Benchmark a Azure Automation. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure Automation relacionadas.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Automation y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Automation se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Automation.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Azure Backup no admite la implementación directamente en una red virtual. Automation no puede usar características de red, como grupos de seguridad de red, tablas de rutas o dispositivos dependientes de la red, como Azure Firewall.

Use Microsoft Sentinel para detectar el uso de protocolos no seguros heredados, como:

Responsabilidad: Microsoft

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. ExpressRoute ofrece mayor confiabilidad, velocidades más altas y menores latencias que las conexiones a Internet habituales.

Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar dos o más redes virtuales en Azure, use el emparejamiento de red virtual. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Use Azure Private Link para habilitar el acceso privado a Automation desde sus redes virtuales sin atravesar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.

Automation no proporciona la capacidad de configurar puntos de conexión de servicio de red virtual.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de Automation en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique el nombre de la etiqueta de servicio en el campo de origen o destino de la regla adecuada para permitir o denegar el tráfico. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Automation usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe unificar Azure AD para controlar la administración de identidades y acceso de la organización en:

  • Recursos de Microsoft Cloud. Los recursos incluyen:

    • El Portal de Azure

    • Azure Storage

    • Máquinas virtuales de Linux y Windows de Azure

    • Azure Key Vault

    • Plataforma como servicio (PaaS)

    • Aplicaciones de software como servicio (SaaS)

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen un cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos.

Use certificados autofirmados X.509 para autenticar trabajos híbridos de Automation y nodos de configuración de estado deseado (DSC) para Azure Automation.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Automation admite identidades administradas para sus recursos de Azure. Use identidades administradas en lugar de crear entidades de servicio para acceder a otros recursos con Automation.

Automation se puede autenticar de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. Automation usa una regla de concesión de acceso predefinida en lugar de credenciales codificadas de forma rígida en archivos de configuración o de código fuente.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD. Azure AD ofrece acceso seguro y sin problemas, así como mayor visibilidad y control.

Automation usa Azure AD para proporcionar administración de identidades y acceso para recursos de Azure, aplicaciones en la nube y aplicaciones locales. Las identidades incluyen identidades empresariales (como empleados) e identidades externas (como asociados y proveedores). La administración de identidades y acceso de Azure AD proporciona inicio de sesión único (SSO) para administrar y proteger el acceso a los recursos y los datos locales y en la nube de su organización.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Los recursos de Automation pueden contener identidades o secretos. Use Credential Scanner para detectar estas credenciales. Credential Scanner recomienda mover las credenciales detectadas a ubicaciones seguras, como Azure Key Vault.

En GitHub puede usar la herramienta nativa de examen de secretos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios con estos dos roles pueden delegar roles de administrador.

  • El Administrador global o el Administrador de empresa tienen acceso a todas las características y servicios administrativos de Azure AD que usan identidades de Azure AD.

  • El Administrador de roles con privilegios puede administrar las asignaciones de roles en Azure AD y Azure AD Privileged Identity Management (PIM). Con este rol se pueden administrar todos los aspectos de PIM y de las unidades administrativas.

Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel alto. Los usuarios con privilegios elevados pueden leer y modificar directa o indirectamente todos los recursos de Azure. Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en su organización de Azure AD.

Nota: Es posible que tenga que regular otros roles críticos si asigna determinados permisos con privilegios a roles personalizados. Es posible que quiera aplicar controles similares a las cuentas de administrador de recursos empresariales críticos.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Automation usa cuentas de Azure AD para administrar sus recursos y revisar las cuentas de usuario. Azure AD accede a las asignaciones con regularidad para asegurarse de que las cuentas y su acceso son válidos. Sin embargo, Automation no está totalmente integrado con Azure AD.

Si usa cuentas de ejecución de Automation para los runbooks, asegúrese de realizar un seguimiento de las entidades de servicio del inventario. Las entidades de servicio suelen tener permisos elevados. Elimine las cuentas de ejecución no utilizadas para minimizar la superficie expuesta a ataques. Es mejor usar identidades administradas en lugar de cuentas de ejecución.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo aisladas y protegidas son fundamentales para la seguridad de roles confidenciales, como administrador, desarrollador y operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad y Azure Bastion para las tareas administrativas.

Use Azure AD, Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar de manera centralizada estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

  • Autenticación sólida

  • Líneas base de software y hardware

  • Acceso lógico y de red restringido

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-7: Seguir el principio de privilegios mínimos de una administración suficiente

Guía: Automation se integra con Azure RBAC para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal.

Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use los roles integrados para asignar permisos, y cree solo roles personalizados cuando sea necesario.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: Restrinja el acceso a datos confidenciales mediante Azure RBAC, controles de acceso basados en red y controles como el cifrado en servicios específicos de Azure.

Para mantener la coherencia, alinee todos los tipos de control de acceso con la estrategia de segmentación empresarial. Conforme la estrategia de segmentación de su empresa con la ubicación de sistemas y datos confidenciales o críticos para la empresa.

Microsoft trata como confidencial todo el contenido del cliente de la plataforma subyacente administrada por Microsoft. Microsoft protege contra la pérdida y exposición de datos de los clientes. Microsoft dispone de controles y funcionalidades predeterminados de protección de datos para garantizar que los datos de los clientes de Azure permanecen seguros.

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar el control de acceso, use el cifrado para proteger los datos en tránsito frente a ataques fuera de banda, como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Automation admite el cifrado de datos en tránsito con TLS v1.2 u otra versión posterior.

Este requisito es opcional para el tráfico en redes privadas, pero crítico para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure puedan usar TLS v1.2 o una versión posterior.

Para la administración remota, use Secure Shell (SSH) para Linux o el Protocolo de escritorio remoto (RDP) y TLS para Windows. No use un protocolo sin cifrar. Deshabilite los cifrados débiles y las versiones y los protocolos SSL, TLS y SSH obsoletos.

Azure cifra los datos en tránsito entre centros de datos de Azure de manera predeterminada.

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: Para complementar los controles de acceso, Automation cifra los datos en reposo para proteger frente a ataques fuera de banda que acceden al almacenamiento subyacente. El cifrado ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos muy confidenciales, puede implementar más cifrado en reposo en los recursos de Azure donde estén disponibles. Azure administra las claves de cifrado de forma predeterminada y también proporciona opciones para administrar las suyas propias. Las claves administradas por el cliente cumplen los requisitos normativos para determinados servicios de Azure.

Responsabilidad: Microsoft

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Automation:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tenga visibilidad sobre los riesgos de los recursos

Guía: Asegúrese de conceder a los equipos de seguridad permisos de lector de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino entero, o conceder permisos a suscripciones o grupos de administración específicos.

Nota: La visibilidad de las cargas de trabajo y los servicios puede requerir más permisos.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos

Guía: Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos de Azure actualizado continuamente, como Automation. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes y como una entrada para mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización, y asígnele acceso de lectura a todos los recursos de Automation. Puede simplificar el proceso con una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de Azure Virtual Machine para automatizar la recopilación de información sobre software en máquinas virtuales (VM). El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para acceder a las fechas de instalación y otra información, habilite los diagnósticos de nivel de invitado y lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Automation no permite ejecutar una aplicación ni instalar software en sus recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y descubrir recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. Puede integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas SIEM y de supervisión para casos de uso complejos de supervisión y análisis.

  • Inicios de sesión: proporcionan información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados con diversas características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso dentro de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de intentos de inicio de sesión de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados como en riesgo: un indicador de que una cuenta de usuario puede estar en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre actividades sospechosas, como un número excesivo de intentos de autenticación con errores o sobre cuentas en desuso.

Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud puede recopilar alertas de seguridad más detalladas de:

  • Recursos de proceso individuales de Azure, como máquinas virtuales, contenedores y servicios de aplicaciones

  • Recursos de datos, como Azure SQL Database y Azure Storage

  • Capas de servicio de Azure

Esta funcionalidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Puede usar Azure Private Link para conectar redes virtuales a Automation de forma segura. Puede usar Private Link con:

  • webhooks

  • Nodos de DSC

  • Ejecución de un runbook en un trabajo híbrido conectado a Azure Virtual Network

  • Actualización de los nodos de administración

Este control no es aplicable si usa el servicio de fábrica sin instancias de Hybrid Runbook Worker.

Si usa instancias de Hybrid Runbook Worker respaldadas por máquinas virtuales de Azure:

  • Habilite la subred que contiene los trabajos con un grupo de seguridad de red (NSG).

  • Configure los registros de flujo para reenviar registros a una cuenta de Storage para auditar el tráfico.

También puede reenviar los registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para extraer información sobre el flujo de tráfico de Azure.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad de Automation están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de Automation. Puede usar registros de actividad para buscar errores al solucionar problemas o para supervisar cómo los usuarios modificaron los recursos.

Habilite los registros de recursos de Azure para Automation. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Puede reenviar los datos de trabajos de Automation a un área de trabajo de Log Analytics. Puede cambiar la retención de datos en el área de trabajo de Log Analytics según las regulaciones de cumplimiento de su organización.

Use cuentas de Azure Storage para el almacenamiento de archivos o a largo plazo.

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación. Una única definición de plano técnico puede incluir plantillas de Azure Resource Manager, controles RBAC y directivas.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para supervisar la línea base de configuración. Use Azure Policy [deny] e [deploy if not exist] para aplicar una configuración segura en los recursos de proceso de Azure, incluidas las máquinas virtuales y los contenedores.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales y los contenedores.

Responsabilidad: Customer

PV-6: Realizar evaluaciones de vulnerabilidades de software

Instrucciones: No aplicable. Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Automation.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Puede implementar Automation en máquinas virtuales o a través de registros de contenedor. Implemente rápidamente actualizaciones de software para corregir las vulnerabilidades de software en los sistemas operativos y las aplicaciones.

Use Update Management de Azure Automation o una solución de terceros para asegurarse de instalar las actualizaciones de seguridad más recientes en sus máquinas virtuales Windows y Linux. En el caso de máquinas virtuales Windows, asegúrese de habilitar Windows Update y establecerlo para que la actualización automática.

Clasifique por orden de prioridad los riesgos mediante un programa de puntuación de riesgos, como el sistema de puntuación común de vulnerabilidades o las clasificaciones de riesgo de su herramienta de examen de terceros. Use este contexto para adaptar el entorno a las aplicaciones que presentan un alto riesgo de seguridad y a las aplicaciones que requieren un tiempo de actividad alto.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager. Automation no usa ni requiere ningún software de terceros.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción para pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Asegurarse de ejecutar copias de seguridad automatizadas periódicas

Guía: Azure Automation no proporciona un mecanismo de copia de seguridad nativo. Es su responsabilidad asegurarse de mantener una copia de seguridad válida de la configuración de Automation, como runbooks y recursos.

Use Azure Resource Manager para implementar cuentas de Automation y los recursos relacionados. Puede exportar plantillas de Azure Resource Manager para usarlas como copias de seguridad para restaurar cuentas de Automation y recursos relacionados. Use Azure Automation para llamar a la API de exportación de plantillas de Azure Resource Manager de forma periódica.

Puede usar la característica de integración del control de código fuente para mantener actualizados los runbooks de la cuenta de Automation con los scripts del repositorio de control de código fuente.

Responsabilidad: Customer

BR-3: Validar todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: asegúrese de forma periódica de que puede restaurar las claves administradas por el cliente de las que se hizo una copia de seguridad.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Asegúrese de contar con medidas para evitar la pérdida de claves y recuperarse de dicha pérdida. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

Responsabilidad: Customer

Pasos siguientes