Base de referencia de seguridad de Azure para Azure Cache for Redis

  • Artículo
  • Tiempo de lectura: 36 minutos

Esta línea base de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark a Azure Cache for Redis. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables en Azure Cache for Redis.

Nota

Los controles no aplicables a Azure Cache for Redis, o para los que la responsabilidad es de Microsoft, se han excluido. Para ver cómo Azure Cache for Redis asigna completamente a Azure Security Benchmark, consulte el archivo de asignación de línea Azure Cache for Redis base de referencia de seguridad completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Instrucciones: Implemente la instancia de Azure Cache for Redis dentro de una red virtual (VNet). Una red virtual es una red privada en la nube. Cuando una instancia de Azure Cache for Redis se configure con una red virtual, no será posible acceder a ella públicamente, solo se podrá acceder a ella desde máquinas virtuales y aplicaciones de dentro de la red virtual.

Puede especificar también las reglas de firewall con un intervalo de direcciones IP de inicio y finalización. Cuando se configuran las reglas de firewall, solo las conexiones de cliente de los intervalos de direcciones IP especificados pueden conectarse a la memoria caché.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Cuando se implementan máquinas virtuales en la misma red virtual que la instancia de Azure Cache for Redis, puede utilizar los grupos de seguridad de red (NSG) para reducir el riesgo de exfiltración de datos. Habilite los registros de flujo de grupos de seguridad de red y envíe registros a una cuenta de Azure Storage para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.3: Proteja las aplicaciones web críticas

Instrucciones: No aplicable; esta recomendación está pensada para las aplicaciones web que se ejecutan en Azure App Service o en recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: La implementación de Azure Virtual Network aporta mayor seguridad y aislamiento a su instancia de Azure Cache for Redis, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Al implementarlo en una red virtual, Azure Cache for Redis no está disponible públicamente, y solo se podrá acceder a él desde máquinas virtuales y aplicaciones de dentro de la red virtual.

Habilite el estándar de DDoS Protection en las redes virtuales asociadas a las instancias de Azure Cache for Redis para protegerse de los ataques por denegación de servicio distribuidos (DDoS). Use Microsoft Defender para Cloud Integrated Threat Intelligence para denegar las comunicaciones con direcciones IP de Internet malintencionadas o no utilizadas conocidas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: Cuando se implementan máquinas virtuales en la misma red virtual que la instancia de Azure Cache for Redis, puede utilizar los grupos de seguridad de red (NSG) para reducir el riesgo de exfiltración de datos. Habilite los registros de flujo de grupos de seguridad de red y envíe registros a una cuenta de Azure Storage para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS) basados en la red

Guía: Al utilizar Azure Cache for Redis con las aplicaciones web que se ejecutan en Azure App Service o instancias de proceso, implemente todos los recursos dentro de una instancia de Azure Virtual Network (VNet) y protéjalos con un Firewall de aplicaciones web (WAF) de Azure en Application Gateway web. Configure WAF para que se ejecute en "Modo de prevención". El Modo de prevención bloquea las intrusiones y los ataques que detectan las reglas. El atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Como alternativa, puede seleccionar una oferta de Azure Marketplace que admita la funcionalidad de IDS/IPS con funcionalidades de inspección de carga y/o detección de anomalías.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.7: Administre el tráfico a las aplicaciones web

Instrucciones: No aplicable; esta recomendación está pensada para las aplicaciones web que se ejecutan en Azure App Service o en recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Puede usar etiquetas de servicio de red virtual para definir los controles de acceso a la red en grupos de seguridad de red (NSG) o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

También puede usar grupos de seguridad de aplicaciones (ASG) para simplificar una configuración de seguridad compleja. Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y definir directivas de seguridad de red basadas en esos grupos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Defina e implemente configuraciones de seguridad estándar para los recursos de red relacionados con las instancias de Azure Cache for Redis con Azure Policy. Use alias de Azure Policy en los espacios de nombres "Microsoft.Cache" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las instancias de Azure Cache for Redis. También puede utilizar definiciones de directivas integradas como:

  • Solo se deben habilitar las conexiones seguras a Redis Cache

  • Se debe habilitar DDoS Protection estándar

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como plantillas de Azure Resource Manager (ARM), control de acceso basado en rol de Azure (RBAC de Azure) y directivas, en una única definición de plano técnico. Aplique fácilmente el plano técnico a nuevas suscripciones y entornos, y ajuste el control y la administración mediante el control de versiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: Use etiquetas para los recursos de red asociados a la implementación de Azure Cache for Redis a fin de organizarlos lógicamente en una taxonomía.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en los recursos de red relacionados con las instancias de Azure Cache for Redis. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Guía: Habilite la configuración de diagnóstico del registro de actividad de Azure y envíela a un área de trabajo de Log Analytics, un centro de eventos de Azure o una cuenta de almacenamiento de Azure para su archivo. Los registros de actividad proporcionan información sobre las operaciones llevadas a cabo en las instancias de Azure Cache for Redis en el nivel del plano de control. Con los datos del registro de actividad de Azure, puede responder a las preguntas "qué, quién y cuándo" de las operaciones de escritura (PUT, POST, DELETE) llevadas a cabo en el nivel del plano de control para las instancias de Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Habilite la configuración de diagnóstico del registro de actividad de Azure y envíela a un área de trabajo de Log Analytics, un centro de eventos de Azure o una cuenta de almacenamiento de Azure para su archivo. Los registros de actividad proporcionan información sobre las operaciones llevadas a cabo en las instancias de Azure Cache for Redis en el nivel del plano de control. Con los datos del registro de actividad de Azure, puede responder a las preguntas "qué, quién y cuándo" de las operaciones de escritura (PUT, POST, DELETE) llevadas a cabo en el nivel del plano de control para las instancias de Azure Cache for Redis.

Mientras que las métricas están disponibles al habilitar la configuración de diagnóstico, el registro de auditoría en el plano de datos no está disponible aún en Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: En Azure Monitor, establezca el período de retención de registro para las áreas de trabajo de Log Analytics asociadas a las instancias de Azure Cache for Redis según las normativas de cumplimiento de su organización.

Tenga en cuenta que el registro de auditoría en el plano de datos no está disponible aún para Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Guía: Habilite la configuración de diagnóstico en el registro de actividad de Azure y envíe los registros a un área de trabajo de Log Analytics. Realice consultas en Log Analytics para buscar términos, identificar tendencias, analizar patrones y proporcionar muchas otras conclusiones basadas en los datos del registro de actividad que se pueden recopilar para Azure Cache for Redis.

Tenga en cuenta que el registro de auditoría en el plano de datos no está disponible aún para Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía: Puede configurar para recibir alertas basadas en métricas y registros de actividad relacionados con las instancias de Azure Cache for Redis. Azure Monitor le permite configurar una alerta para enviar una notificación por correo electrónico, llamar a un webhook o invocar una aplicación lógica de Azure.

Mientras que las métricas están disponibles al habilitar la configuración de diagnóstico, el registro de auditoría en el plano de datos no está disponible aún en Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: el acceso del plano de control a Azure Cache for Redis se controla mediante Azure Active Directory (Azure AD). Azure AD no tiene el concepto de contraseñas predeterminadas.

El acceso del plano de datos a Azure Cache for Redis se controla mediante claves de acceso. Estas claves las utilizan los clientes al conectarse a la memoria caché y se pueden volver a generar en cualquier momento.

No se recomienda crear contraseñas predeterminadas en la aplicación. En su lugar, puede almacenar sus contraseñas en Azure Key Vault y, a continuación, usar Azure AD para recuperarlas.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use Microsoft Defender para Cloud Identity and Access Management para supervisar el número de cuentas administrativas.

Además, para ayudarle a realizar un seguimiento de las cuentas administrativas dedicadas, puede usar recomendaciones de Microsoft Defender para la nube o directivas de Azure integradas, como:

  • Debe haber más de un propietario asignado a su suscripción

  • Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción

  • Las cuentas externas con permisos de propietario deben quitarse de la suscripción

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: Azure Cache for Redis usa claves de acceso para autenticar a los usuarios y no admite el inicio de sesión único (SSO) en el nivel del plano de datos. El acceso al plano de control de Azure Cache for Redis está disponible mediante la API REST y admite SSO. Para autenticarse, establezca el encabezado de autorización de las solicitudes en JSON Web Token, que se obtiene de Azure Active Directory (Azure AD).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para Cloud Identity and Access Management.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: use Privileged Identity Management (PIM) de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzca una actividad sospechosa o insegura en el entorno.

Además, use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: configure ubicaciones con nombre en el acceso condicional de Azure Active Directory para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones concretos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

No se puede usar la autenticación de Azure AD para el acceso directo al plano de datos de Azure Cache for Redis; no obstante, se pueden usar credenciales de Azure AD para la administración en el nivel del plano de control (por ejemplo, Azure Portal) a fin de controlar las claves de acceso de Azure Cache for Redis.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: Azure Active Directory (Azure AD) proporciona registros para ayudarle a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía:Tiene acceso a los orígenes de registro de eventos de riesgo, auditoría y actividad de inicio de sesión de Azure Active Directory (Azure AD), que le permiten integrarse con Microsoft Sentinel o un SIEM de terceros.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas de registro deseadas en Log Analytics.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: para desviaciones del comportamiento de inicio de sesión de cuenta, use las características de Azure Active Directory (Azure AD) Identity Protection y de detección de riesgos para configurar respuestas automatizadas a las acciones sospechosas detectadas relacionadas con las identidades de los usuarios. También puede ingerir datos en Microsoft Sentinel para una investigación más exhaustiva.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: use etiquetas para ayudar a realizar el seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Las instancias de Azure Cache for Redis deben estar separadas por la red o subred virtual y estar correctamente etiquetadas. Opcionalmente, use el firewall de Azure Cache for Redis para definir reglas de modo que solo las conexiones de cliente de los intervalos de direcciones IP especificados puedan conectarse a la memoria caché.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Aún no disponible; las características de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure Cache for Redis.

Microsoft administra la infraestructura subyacente para Azure Cache for Redis y ha implementado controles estrictos para evitar la pérdida o exposición de datos de los clientes.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Azure Cache for Redis requiere comunicaciones cifradas TLS de forma predeterminada. Actualmente se admiten las versiones de TLS 1.0, 1.1 y 1.2. Sin embargo, TLS 1.0 y 1.1 están en proceso de desuso en todo el sector, por lo que se recomienda TLS 1.2 si es posible. Si la biblioteca o la herramienta cliente no admiten TLS, se pueden habilitar las conexiones no cifradas mediante Azure Portal o las API de administración. En casos en los que no es posible establecer conexiones cifradas, se recomienda colocar la caché y la aplicación cliente en una red virtual.

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Cache:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Instrucciones: Las características de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure Cache for Redis. Etiquete las instancias que contienen información confidencial como tal e implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso del control de acceso basado en rol para controlar el acceso a los recursos

Guía: Use el control de acceso basado en rol de Azure (Azure RBAC) para controlar el acceso al plano de control de Azure Cache for Redis (por ejemplo, Azure Portal).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.8: Cifrado de información confidencial en reposo

Instrucciones: Azure Cache for Redis almacena los datos de los clientes en la memoria y, aunque está muy protegida por numerosos controles implementados por Microsoft, la memoria no está cifrada de forma predeterminada. Si su organización lo requiere, cifre el contenido antes de almacenarlo en Azure Cache for Redis.

Si usa la característica "Persistencia de los datos en Redis" de Azure Cache for Redis, los datos se envían a una cuenta de Azure Storage que posea y administre. Puede configurar la persistencia en la hoja "New Azure Cache for Redis" (Nueva instancia de Azure Cache for Redis) durante la creación de la memoria caché y en el menú Recurso de las cachés existentes del nivel Premium.

Los datos de Azure Storage se cifran y descifran de forma transparente mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles, y son compatibles con FIPS 140-2. El cifrado de Azure Storage no se puede deshabilitar. Puede confiar en las claves administradas por Microsoft para el cifrado de la cuenta de almacenamiento, o puede administrar el cifrado con sus propias claves.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure a fin de crear alertas para cuando se produzcan cambios en las instancias de producción de Azure Cache for Redis y otros recursos críticos o relacionados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía:siga las recomendaciones de Microsoft Defender para la nube sobre la protección de Azure Cache for Redis y recursos relacionados.

Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Cache for Redis.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía:Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.). dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Instrucciones: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Guía: Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de las instancias de Azure Cache for Redis y recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Además, use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos
  • Tipos de recursos permitidos

Además, use Azure Resource Graph para consultar y detectar recursos en las suscripciones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Configure el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager (ARM) al configurar "Bloquear acceso" para la aplicación "Microsoft Azure Management".

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para las instancias de Azure Cache for Redis con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.Cache" para crear directivas personalizadas a fin de auditar o aplicar la configuración de las instancias de Azure Cache for Redis. También puede usar las definiciones de directiva integradas relacionadas con las instancias de Azure Cache for Redis, como:

  • Solo se deben habilitar las conexiones seguras a Redis Cache

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use la directiva de Azure Policy [deny] y [deploy if not exist] para aplicar la configuración segura en los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Instrucciones: Si usa definiciones de Azure Policy personalizadas o plantillas de Azure Resource Manager para las instancias de Azure Cache for Redis y recursos relacionados, use Azure Repos para almacenar y administrar el código de forma segura.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres "Microsoft.Cache" para crear directivas personalizadas a fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres "Microsoft.Cache" para crear directivas personalizadas a fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Use Azure Policy [auditar], [denegar] e [implementar si no existe] para aplicar automáticamente las configuraciones de las instancias de Azure Cache for Redis y recursos relacionados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Guía: En el caso de Azure Virtual Machines o las aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso a las instancias de Azure Cache for Redis, utilice Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos de Azure Cache for Redis. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: En el caso de Azure Virtual Machines o las aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso a las instancias de Azure Cache for Redis, utilice Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos de Azure Cache for Redis. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure Active Directory (Azure AD). Identidades administradas le permite autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Azure Key Vault, sin necesidad de credenciales en el código.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Cache for Redis), pero no se ejecuta en el contenido del cliente.

Examine previamente el contenido que se carga en recursos de Azure que no son de proceso, como App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, etc. Microsoft no tiene acceso a los datos de estas instancias.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Habilite la persistencia de Redis. La persistencia de Redis le permite conservar los datos almacenados en Redis. También puede tomar instantáneas y realizar copias de seguridad de los datos que puede cargar en el caso de un error de hardware. Se trata de una inmensa ventaja sobre el nivel Básico o Estándar, donde todos los datos se almacenan en la memoria y puede haber una posible pérdida de datos en caso de error donde los nodos de la memoria caché están inactivos.

También puede utilizar la exportación de Azure Cache for Redis. La exportación permite exportar los datos almacenados en Azure Cache for Redis a archivos RDB compatibles. Puede utilizar esta característica para mover datos desde una instancia de Azure Cache for Redis a otra o a otro servidor de Redis. Durante el proceso de exportación, se crea un archivo temporal en la máquina virtual que hospeda la instancia del servidor de Azure Cache for Redis y el archivo se carga en la cuenta de almacenamiento designada. Una vez completada la operación de exportación (de manera correcta o incorrecta), se elimina el archivo temporal.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.2: Realización de copias de seguridad completas del sistema y copias de seguridad de las claves administradas por el cliente

Guía: Habilite la persistencia de Redis. La persistencia de Redis le permite conservar los datos almacenados en Redis. También puede tomar instantáneas y realizar copias de seguridad de los datos que puede cargar en el caso de un error de hardware. Se trata de una inmensa ventaja sobre el nivel Básico o Estándar, donde todos los datos se almacenan en la memoria y puede haber una posible pérdida de datos en caso de error donde los nodos de la memoria caché están inactivos.

También puede utilizar la exportación de Azure Cache for Redis. La exportación permite exportar los datos almacenados en Azure Cache for Redis a archivos RDB compatibles. Puede utilizar esta característica para mover datos desde una instancia de Azure Cache for Redis a otra o a otro servidor de Redis. Durante el proceso de exportación, se crea un archivo temporal en la máquina virtual que hospeda la instancia del servidor de Azure Cache for Redis y el archivo se carga en la cuenta de almacenamiento designada. Una vez completada la operación de exportación (de manera correcta o incorrecta), se elimina el archivo temporal.

Si usa Azure Key Vault para almacenar las credenciales de las instancias de Azure Cache for Redis, asegúrese de realizar copias de seguridad automatizadas de las claves.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Use la importación de Azure Cache for Redis. La importación se puede usar para traer los archivos RDB compatibles de Redis desde cualquier servidor de Redis que se ejecute en cualquier nube o entorno, incluidas las instancias de Redis que se ejecutan en Linux, Windows o cualquier proveedor de nube como, por ejemplo, Amazon Web Services. La importación de datos supone una manera fácil de crear una caché con datos rellenados previamente. Durante el proceso de importación, Azure Cache for Redis carga los archivos RDB desde Azure Storage en la memoria y, luego, inserta las claves en la memoria caché.

Pruebe periódicamente la restauración de datos de los secretos de Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en el análisis usado para emitir la alerta, así como en el nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no producción) y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Instrucciones: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes