Línea de base de seguridad de Azure para Azure Bastion

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Bastion. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure Bastion.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Bastion y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Bastion se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Bastion.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Al implementar los recursos de Azure Bastion, debe crear o usar una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se adapte a los riesgos empresariales. Todos los sistemas que podrían suponer un riesgo mayor para la organización deben aislarse en su propia red virtual y estar lo suficientemente protegidos con un grupo de seguridad de red (NSG).

Para que el servicio Azure Bastion funcione correctamente, es necesario abrir los siguientes puertos:

  • Tráfico de entrada:

    • Tráfico de entrada procedente de Internet pública: Azure Bastion creará una dirección IP pública que necesita el puerto 443 habilitado en la dirección IP pública para el tráfico de entrada. El puerto 3389/22 no tiene que abrirse en la subred AzureBastionSubnet.

    • Plano de control del tráfico de entrada procedente de Azure Bastion: Para la conectividad del plano de control, habilite el puerto 443 entrante desde la etiqueta de servicio de GatewayManager. De este modo, se permite que el plano de control, es decir, el administrador de puerta de enlace, pueda comunicarse con Azure Bastion.

  • Tráfico de salida:

    • Tráfico de salida a las máquinas virtuales de destino: Azure Bastion se comunicará con las máquinas virtuales de destino a través de la dirección IP privada. Los grupos de seguridad de red tienen que permitir el tráfico de salida a otras subredes de máquinas virtuales de destino para el puerto 3389 y 22.

    • Salida del tráfico a otros puntos de conexión públicos de Azure: Azure Bastion debe ser capaz de conectarse a varios puntos de conexión públicos dentro de Azure (por ejemplo, para almacenar registros de diagnóstico y los registros de medición). Por esta razón, Azure Bastion necesita una salida hacia 443 para la etiqueta de servicio AzureCloud.

Los certificados de Azure protegen (bloquean) la conectividad con el administrador de puerta de enlace y la etiqueta de servicio de Azure. Las entidades externas, incluidos los consumidores de esos recursos, no pueden comunicarse en estos puntos de conexión.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0

NS-2: Conexión conjunta de redes privadas

Guía: Azure Bastion permite su implementación en una red emparejada para centralizar esta operación y permitir la conectividad entre redes.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: No aplicable; Azure Bastion no expone sus configuraciones de DNS subyacentes, sino que Microsoft las mantiene.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Bastion se integra en Azure Active Directory (Azure AD), que es el servicio predeterminado de administración de identidades y acceso de Azure. Los usuarios pueden acceder a Azure Portal mediante la autenticación de Azure AD para administrar el servicio Azure Bastion (crear, actualizar y eliminar recursos de Bastion).

La conexión a máquinas virtuales mediante Azure Bastion se basa en una clave SSH o un nombre de usuario y contraseña, y actualmente no admite el uso de credenciales de Azure AD.

Puede almacenar las claves SSH como secretos de Azure Key Vault y usar estos secretos para conectarse a las máquinas virtuales mediante Azure Bastion. Puede controlar el acceso de los usuarios a estos secretos asignando directivas de acceso de Key Vault a usuarios individuales o grupos de Azure AD. Los usuarios necesitarán los siguientes permisos para usar este método para conectarse a una máquina virtual:

  • Acceso Get a los secretos almacenados en el almacén de Azure Key Vault elegido.
  • Acceso List a los secretos almacenados en el almacén de Azure Key Vault elegido.

Además de una clave SSH o un nombre de usuario/contraseña, al conectarse a las máquinas virtuales mediante Azure Bastion, el usuario necesitará las siguientes asignaciones de roles:

  • Rol de lector en la máquina virtual de destino
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual de destino
  • Rol de lector en el recurso de Azure Bastion
  • Rol de lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada)

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Azure Bastion no admite el inicio de sesión único al autenticarse en recursos de máquina virtual, solo se admiten SSH o el nombre de usuario/contraseña. Sin embargo, Azure Bastion usa Azure Active Directory (Azure AD) para proporcionar administración de identidades y acceso al servicio global. Los usuarios pueden autenticarse en Azure AD para acceder a sus recursos de Azure Bastion y administrarlos, y experimentar un inicio de sesión único de conexión directa con sus propias identidades de empresa sincronizadas a través de Azure AD Connect.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure Bastion usa cuentas de Azure Active Directory (Azure AD) y Azure RBAC para administrar sus recursos. Revise las cuentas de usuario y la asignación de acceso con regularidad para asegurarse de que las cuentas y su acceso sean válidos. Puede usar las revisiones de acceso de Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Además, se puede configurar Azure Privileged Identity Management para enviar una alerta cuando se cree un número de cuentas de administrador excesivo y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son de una importancia vital para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. En función de sus requisitos, puede usar estaciones de trabajo de usuario de alta seguridad para realizar tareas de administración con los recursos de Azure Bastion en entornos de producción. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Bastion se integra en el control de acceso basado en roles de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles integrados a usuarios, grupos, entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure Active Directory (Azure AD) Privileged Identity Management (PIM) y se debe revisar periódicamente. Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Al conectarse a máquinas virtuales mediante Azure Bastion, el usuario necesitará las siguientes asignaciones de roles:

  • Rol de lector en la máquina virtual de destino
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual de destino
  • Rol de lector en el recurso de Azure Bastion

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-4: Cifrado de la información confidencial en tránsito

Guía: Azure Bastion usa TLS para los datos en tránsito entre el usuario y la máquina virtual.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure Bastion con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción. Asegúrese de que los equipos de seguridad tienen acceso a un inventario de recursos actualizado continuamente en Azure. Pueden usar Azure Resource Graph para consultar y detectar todos los recursos de las suscripciones, incluidos los recursos de red, las aplicaciones y los servicios de Azure.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno, lo que incluye la posibilidad de permitir o denegar las implementaciones de recursos de Azure Bastion. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Bastion se integra con Azure Active Directory (Azure AD), y se accede al servicio a través de Azure Portal. De forma predeterminada, las acciones de administración en el servicio (como crear, actualizar y eliminar) se capturan a través del registro de actividades de Azure. Los usuarios también deben habilitar los registros de recursos de Azure Bastion, como los registros BastionAuditLogs de sesiones para realizar un seguimiento de las sesiones de Bastion.

Azure AD proporciona los siguientes registros de usuario que se pueden ver en los informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM o de supervisión para casos de uso de supervisión y análisis más complejos:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación erróneas y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (como máquinas virtuales, contenedores, servicios de aplicaciones), recursos de datos (como base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta funcionalidad permite ver anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Habilite los registros de recursos de Azure Bastion, use los registros de diagnóstico para ver qué usuarios se han conectado a las distintas cargas de trabajo, en qué momento, desde dónde y otros datos de registro pertinentes. Los usuarios pueden configurar estos registros para enviarse a una cuenta de almacenamiento donde se conserven a largo plazo y puedan someterse a auditorías.

Habilite y recopile los registros de recursos y los registros de flujo de grupos de seguridad de red en los grupos de seguridad de red que se aplican a las redes virtuales que tiene implementado el recurso de Azure Bastion. Estos registros se pueden usar para analizar la seguridad de red y para realizar investigaciones de incidentes, búsqueda de amenazas y generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Azure Bastion, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que, para cada origen de registro, asigna un propietario de datos, una guía de acceso y una ubicación de almacenamiento; que determinar qué herramientas se usan para procesar y acceder a los datos, y los requisitos de retención de datos.

Asegúrese también de que integra los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Asimismo, habilite e incorpore los datos a Azure Sentinel o a un SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso que se usan frecuentemente y Azure Storage para los datos inactivos que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de Azure Bastion tengan el período de retención de registros configurado de acuerdo con la normativa de cumplimiento de la organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Bastion no admite la configuración de los propios orígenes de sincronización horaria. El servicio Azure Bastion se basa en los orígenes de sincronización horaria de Microsoft y su configuración no se expone a los clientes.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para Azure Bastion con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de Azure Bastion. Los clientes también pueden establecer configuraciones seguras usando Azure Blueprints o las plantillas de ARM para implementar recursos de Bastion de forma segura y coherente.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para Azure Bastion con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de Bastion.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Bastion.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Microsoft realiza la administración de vulnerabilidades y la actualización de software en los sistemas subyacentes que admiten Azure Bastion.

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía: Azure Bastion es una oferta PaaS totalmente administrada y Microsoft es responsable de controlar la protección de los puntos de conexión.

Responsabilidad: Microsoft

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Azure Bastion es una oferta PaaS totalmente administrada y Microsoft es responsable de instalar y administrar la protección antimalware.

Responsabilidad: Microsoft

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Azure Bastion es una oferta PaaS totalmente administrada y Microsoft es responsable de instalar, administrar y actualizar la firma antimalware.

Responsabilidad: Microsoft

Pasos siguientes