Compartir a través de


Línea de base de seguridad de Azure para Azure Resource Manager

Esta línea base de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Azure Resource Manager. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Resource Manager.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Se han excluido las características no aplicables a Azure Resource Manager. Para ver cómo Azure Resource Manager se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Resource Manager.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Resource Manager, lo que puede dar lugar a un aumento de las consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos MGMT/Gobernanza
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena el contenido del cliente en reposo False

Seguridad de las redes

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: implemente puntos de conexión privados para establecer un punto de acceso privado para administrar los recursos en el grupo de administración raíz (inquilino).

Nota: La administración de recursos Private Link los recursos se pueden conectar a un punto de conexión privado para habilitar el acceso privado seguro para administrar recursos de Azure.

Referencia: Creación de un vínculo privado para administrar recursos de Azure

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: Azure Resource Manager admite la conectividad privada a través de puntos de conexión privados de Azure y el recurso Resource Management Private Links. Sin embargo, la capacidad de deshabilitar el acceso a la red pública aún no está disponible.

Guía de configuración: esta característica no se admite para proteger este servicio.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Protección de los datos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Migración a TLS 1.2 para Azure Resource Manager

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Administración de recursos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.

Referencia: Azure Policy definiciones integradas para Azure Resource Manager

Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: Microsoft Defender para Resource Manager supervisa las operaciones de administración de recursos de su organización, independientemente de si se realizan a través de la Azure Portal, las API REST de Azure, la CLI de Azure u otros clientes mediante programación de Azure. Defender for Cloud ejecuta análisis de seguridad avanzados para detectar amenazas y avisarle de cualquier actividad sospechosa.

Referencia: Información general de Microsoft Defender para Resource Manager

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Resources:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: habilite los registros de recursos para Azure Resource Manager. Al crear y administrar recursos en Azure, las solicitudes se orquestan a través del plano de control de Azure, Azure Resource Manager. Con el registro de recursos, puede supervisar el volumen y la latencia de las solicitudes del plano de control realizadas en Azure. Con estas métricas, puede observar el tráfico y la latencia de las solicitudes de plano de control en todas las suscripciones. Por ejemplo, ahora puede averiguar cuándo las solicitudes se han visto limitadas o no filtrando códigos de estado específicos.

Referencia: Métricas de Azure Resource Manager en Azure Monitor

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: La exportación de plantillas de Azure Resource Manager no se puede usar para capturar datos en reposo. En el caso de las configuraciones de recursos, se recomienda crear infraestructura a partir de plantillas de origen y, cuando sea necesario, volver a implementar desde esa fuente de confianza. La exportación de plantillas puede ayudar a arrancar ese proceso, pero no es lo suficientemente sólido como para tener en cuenta la recuperación ante desastres.

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes