Línea de base de seguridad de Azure para Batch

  • Artículo
  • Tiempo de lectura: 31 minutos

Esta línea base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Batch. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a Batch.

Nota

Se han excluido los controles no aplicables a Batch y aquellos para los que se recomienda la guía global. Para ver cómo Batch se asigna completamente a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Batch.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía:implemente Azure Batch grupos dentro de una red virtual. Puede aprovisionar el grupo en una subred de una red virtual de Azure. Con esta acción, los nodos de proceso de grupo pueden comunicarse de forma segura con otras máquinas virtuales o con una red local. ¿Implementa el grupo dentro de una red virtual? A continuación, puede controlar el grupo de seguridad de red (NSG) que se usa para proteger las interfaces de red (NIC) de los nodos individuales y la subred. Configure el grupo de seguridad de red para permitir el tráfico solo desde direcciones IP de confianza o ubicaciones en Internet.

Deshabilite los puntos de conexión RDP/SSH expuestos públicamente en el puerto 3389 (Windows) o 22 (Linux). A continuación, los orígenes externos no se pueden conectar a los nodos de proceso de Batch ni detectar acceso remoto a estos. Configure estos puertos para el acceso con mecanismos Just-In-Time en los grupos de seguridad de red asignados.

¿Necesita compatibilidad con tareas de varias instancias con determinados entornos de ejecución de MPI? En Linux, es posible que tenga que habilitar las reglas del puerto 22. Sin embargo, no es estrictamente necesario permitir el tráfico en estos puertos para que los nodos de proceso del grupo puedan usarse.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-2: Conexión conjunta de redes privadas

Guía:dado que puede implementar Azure Batch directamente en redes virtuales, tiene muchas maneras de habilitar el acceso a los recursos de Batch desde otras redes.

Con Azure ExpressRoute o una red privada virtual (VPN) de Azure, puede crear conexiones privadas entre los centros de datos de Azure y la infraestructura local. Estas conexiones se encuentran en un entorno de colocación en la red que hospeda los recursos de Batch. Una conexión ExpressRoute no pasa por la red pública de Internet. En comparación con una conexión a Internet típica, una conexión ExpressRoute ofrece:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales o Private Link. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía:Al aprovisionar el grupo sin direcciones IP públicas, puede restringir el acceso a los nodos y reducir la detectabilidad de los nodos desde Internet. Si aprovisiona el grupo en una subred de una red virtual de Azure, los nodos de proceso pueden comunicarse de forma segura con otras máquinas virtuales o con una red local. Con Azure Private Link, puede habilitar el acceso privado a Batch desde las redes virtuales sin atravesar Internet. El Azure Private Link está protegido. Acepta conexiones solo desde puntos de conexión privados autenticados y autorizados. La configuración de puntos de conexión privados Azure Batch es más segura y no limita las funcionalidades de la oferta.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:Los recursos de Azure están protegidos frente a ataques de red externa, como:

  • Ataques de denegación de servicio distribuido (DDoS).
  • Ataques específicos de la aplicación.
  • Tráfico de Internet no solicitado y potencialmente malintencionado.

Con Azure Firewall, proteja las aplicaciones y los servicios en las redes virtuales. Evite el tráfico potencialmente malintencionado desde Internet y otras ubicaciones externas. Para proteger los recursos frente a ataques DDoS, habilite la protección estándar de DDoS en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

NS-6: simplificación de las reglas de seguridad de red

Guía:en Azure Batch, use etiquetas de servicio de Azure Virtual Network integradas para definir controles de acceso a la red. Los controles de acceso a la red se aplican a los grupos de seguridad de red o a los firewalls de Azure configurados para los recursos de Batch.

En las implementaciones dedicadas a Azure Batch, ¿necesita crear reglas de seguridad de red para el tráfico de administración? A continuación, use la etiqueta de servicio "BatchNodeManagement" en lugar de direcciones IP específicas. Mientras accede a los servicios de Azure que tienen puntos de conexión públicos, también consigue el aislamiento de red. Y proteja los recursos de Azure de Internet general.

Al especificar el nombre de la etiqueta de servicio en el origen o destino de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de dirección que se incluyen en la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

Los NSG ayudan a definir reglas de tráfico entrante y saliente. Use etiquetas para grupos de seguridad de red u otros flujos de tráfico y seguridad de red relacionados asociados a los grupos de lotes de Azure. Los protocolos IP que se usan en los servicios por lotes de Azure son IPv4 y Pv6.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-7: servicio de nombres de dominio (DNS) seguro

Guía:cuando use Azure DNS como servicio DNS autoritativo, proteja las zonas DNS y los registros frente a modificaciones accidentales o malintencionadas mediante el control de acceso basado en rol de Azure (RBAC de Azure) y los bloqueos de recursos. Puede supervisar los registros de actividad de Azure para saber cómo un usuario de su organización ha modificado un recurso. O bien, los registros pueden ayudarle a encontrar un error al solucionar problemas. Al usar puntos de conexión privados con Azure Batch, se recomienda integrar el punto de conexión privado con una zona DNS privada. Puede usar sus propios servidores DNS o puede crear registros DNS mediante los archivos host de las máquinas virtuales.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:Azure Active Directory (Azure AD) se usa como sistema de autenticación y autorización predeterminado de Batch. Estandarizar Azure AD para regular la administración de identidades y acceso de la organización. El acceso a la cuenta de Batch admite dos métodos de autenticación: clave compartida y Azure Active Directory (Azure AD). Se recomienda usar Azure AD para la autenticación de la cuenta de Batch. Algunas funcionalidades de Batch requieren este método de autenticación, incluidas muchas de las características relacionadas con la seguridad.

Haga que la Azure AD sea una prioridad alta en la práctica de seguridad en la nube de su organización. Con Azure AD de seguridad de identidad, puede comparar la posición de seguridad de identidad con las recomendaciones de procedimientos recomendados de Microsoft. Para realizar mejoras en la posición de seguridad, use la puntuación para medir la coincidencia de la configuración con las recomendaciones de procedimientos recomendados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:Azure Batch admite identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, puede usar identidades administradas con Batch. Batch puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten Azure AD autenticación. Esta autenticación pasa por una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma rígida en archivos de configuración o código fuente.

Batch recomienda usar Azure AD para crear una entidad de servicio con permisos restringidos en el nivel de recurso. Configure esta entidad de servicio con credenciales de certificado y para volver a los secretos de cliente. En ambos casos, Azure Key Vault se pueden usar con identidades administradas por Azure. A continuación, el entorno en tiempo de ejecución (por ejemplo, Azure Batch grupo de claves) puede recuperar la credencial del almacén de claves.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-6: Restricción del acceso a recursos de Azure en función de las condiciones

Guía:Para restringir la administración de los recursos Azure Batch, use Azure AD condicional para un control de acceso más pormenorizado en función de las condiciones definidas por el usuario. Por ejemplo, es posible que desee requerir inicios de sesión de usuario de determinados intervalos IP para usar MFA. También puede usar una administración de sesión de autenticación granular mediante Azure AD de acceso condicional para distintos casos de uso. Este acceso condicional no se aplicará a las claves compartidas que se usan para la autenticación de cliente en cuentas de Batch. Se recomienda Azure AD en lugar de estas claves.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Guía:Azure Batch permite a los clientes ejecutar código potencialmente con identidades o secretos. Para identificar las credenciales dentro Azure Batch código o las configuraciones, se recomienda implementar Credential Scanner. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Por GitHub, puede usar la característica de análisis de secretos nativos para identificar credenciales u otras formas de secretos dentro del código.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Integre la autenticación para Azure Batch aplicaciones con Azure AD. Cree directivas y procedimientos que usen roles y permisos administrativos dedicados.

La cuenta de usuario que ejecuta tareas se puede establecer en un nivel que indica si una tarea se ejecuta con acceso elevado. Tanto las cuentas de usuario automático como las de usuario con nombre se pueden ejecutar con acceso con privilegios elevados. Las dos opciones para el nivel de elevación son:

  • NonAdmin: la tarea se ejecuta como un usuario estándar sin acceso con privilegios elevados. El nivel de elevación predeterminado para una cuenta de usuario de Batch es siempre NonAdmin.

  • Admin: la tarea se ejecuta como un usuario con acceso con privilegios elevados y funciona con permisos de administrador completos.

Descumente Azure Batch las elevaciones de tareas correctamente. Evite usar permisos permanentes de nivel de administrador siempre que sea posible.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:Azure Batch usa Azure AD para proporcionar autenticación para administrar sus recursos. Para asegurarse de que las cuentas y su acceso son válidos, revise las cuentas de usuario y acceda a las asignaciones con regularidad. Puede usar Azure AD y las revisiones de acceso para revisar:

  • Pertenencias a grupos
  • Acceso a aplicaciones empresariales
  • Asignaciones de roles

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Para mejorar el proceso de revisión, también puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informe de la revisión de acceso.

Puede configurar Azure AD PIM para que le alerte cuando se cree un número excesivo de cuentas de administrador. O bien, puede configurarlo para identificar las cuentas de administrador que están obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD, como Azure Batch claves compartidas. En su lugar, Azure AD siempre que sea posible, ya que deberá administrar estas claves por separado cuando se use.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía:Azure Batch integra con RBAC de Azure para administrar sus recursos. Con RBAC de Azure, puede administrar el acceso a los recursos de Azure a través de asignaciones de roles. Puede asignar estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para determinados recursos. Estos roles se pueden inventariar o consultar a través de herramientas como:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Los privilegios que se asignen a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Estos privilegios complementan el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se deben revisar ocasionalmente.

Use roles integrados para conceder permisos a los Azure Batch recursos. Con Azure Batch, los usuarios pueden crear roles personalizados de RBAC de Azure basados en operaciones de Batch para ajustarse a sus necesidades de permisos. En lugar de crear roles personalizados, use roles integrados siempre que sea posible.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:Batch no admite la caja de seguridad del cliente. Para acceder a los datos de los clientes asociados Azure Batch recursos, Microsoft puede trabajar con los clientes en escenarios de soporte técnico para su aprobación a través de otros métodos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía:es posible que tenga Azure Storage que están asociadas a Azure Batch grupos. Si estas cuentas contienen resultados de trabajos y tareas que tienen información confidencial, móntiquelas como confidenciales mediante etiquetas. Proteja esas cuentas con los procedimientos recomendados de Azure.

Las siguientes características aún no están disponibles para los recursos Azure Storage o de proceso:

  • Identificación de datos
  • clasificación
  • Prevención de pérdida

Implemente una solución de terceros para esas características, si es necesario con fines de cumplimiento.

Si Microsoft administra la plataforma Azure Batch subyacente, trata todo el contenido del cliente como confidencial. Microsoft va a grandes medidas para protegerse contra la pérdida y exposición de datos de los clientes. Para asegurarse de que los datos de los clientes de Azure siguen siendo seguros, Microsoft mantiene un conjunto de sólidas funcionalidades y controles de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-2: Protección de datos confidenciales

Guía:Azure Batch permite a los clientes administrar el contenido de salida de su trabajo y tarea. Proteja la información confidencial mediante la restricción del acceso mediante RBAC de Azure. Batch admite RBAC de Azure para administrar el acceso a estos tipos de recursos:

  • Cuentas
  • Trabajos
  • Tareas
  • Grupos

Para que el control de acceso sea más coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación empresarial. Planee la estrategia de segmentación empresarial mediante la ubicación de sistemas y datos confidenciales o críticos para la empresa. Implemente suscripciones o grupos de administración independientes para:

  • Desarrollo
  • Prueba
  • Producción

Separe los grupos Azure Batch por redes virtuales diferentes. Etiquete estas redes virtuales correctamente y protejalas con un grupo de seguridad de red (NSG). Contenga los datos Azure Batch en una cuenta de Azure Storage protegida.

Para la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido del cliente como confidencial. Protege contra la pérdida y exposición de datos de los clientes. Para asegurarse de que los datos de los clientes de Azure siguen siendo seguros, Microsoft tiene algunos controles y funcionalidades de protección de datos predeterminados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía:es posible que tenga Azure Storage asociadas a los grupos de Azure Batch cliente. Si estas cuentas contienen información confidencial, móntiquelas como confidenciales mediante Etiquetas. Proteja esas cuentas con los procedimientos recomendados de Azure.

Las siguientes características aún no están disponibles para los recursos Azure Storage o de proceso:

  • Identificación de datos
  • clasificación
  • Prevención

Implemente una solución de terceros, si es necesario, con fines de cumplimiento.

Si Microsoft administra una plataforma subyacente, trata todo el contenido del cliente como confidencial. Microsoft va a grandes medidas para protegerse contra la pérdida y exposición de datos de los clientes. Para asegurarse de que los datos de los clientes de Azure siguen siendo seguros, Microsoft mantiene un conjunto de sólidas funcionalidades y controles de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-4: Cifrado de la información confidencial en tránsito

Instrucciones: Cifre toda la información confidencial en tránsito. Microsoft Azure recursos negociarán la seguridad de la capa de transporte (TLS) 1.2 de forma predeterminada. Si los clientes se conectan a Azure Batch o almacenes de datos (Azure Storage cuentas), asegúrese de que pueden negociar TLS 1.2 o superior.

Asegúrese también de que https es necesario para acceder a la cuenta de almacenamiento que contiene los Azure Batch datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-5: Cifrado de datos confidenciales en reposo

Guía:Para complementar los controles de acceso, Batch cifra los datos en reposo, lo que protege frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante el cifrado. Esta práctica ayuda a garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de los datos altamente confidenciales, puede implementar el cifrado adicional en reposo en todos los recursos de Azure cuando estén disponibles. Azure administra las claves de cifrado de forma predeterminada. Para cumplir los requisitos normativos, Azure también proporciona opciones para administrar sus propias claves (claves administradas por el cliente) para determinados servicios de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Asegúrese de que el equipo de seguridad puede acceder a los metadatos y el inventario de recursos.

Guía:permita que los equipos de seguridad accedan a un inventario de recursos actualizado continuamente en Azure, como Batch. Los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. Estos equipos también usan el inventario como entrada para las mejoras de seguridad continuas.

Cree un Azure AD para que contenga el equipo de seguridad autorizado de la organización. Asigne acceso de lectura al grupo para todos los recursos de Batch. Puede simplificar el acceso a una única asignación de roles de alto nivel dentro de la suscripción. Aplique etiquetas a Azure Batch recursos para agregar metadatos más necesarios para la organización. Las etiquetas ayudan a organizar lógicamente los recursos de Batch en una taxonomía. En el nivel de cuenta de Batch, puede agregar etiquetas de metadatos para metadatos de seguridad importantes. Sin embargo, los grupos u otros recursos por lotes no heredan estas etiquetas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía:con Azure Policy, audite y restrinja qué servicios (como Azure Batch) los usuarios pueden aprovisionar en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Use Azure Monitor para crear reglas para desencadenar alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía:con Azure Batch, los usuarios pueden instalar software en sus nodos de proceso. Actualmente Batch no puede restringir ni crear una "lista de permitidos" de software que se pueda ejecutar en sus nodos. Puede administrar e instalar software en Batch a través de Azure Portal API de administración de Batch. Para evitar la instalación de aplicaciones malintencionadas o peligrosas, el cliente debe definir el acceso adecuado a través de RBAC de Azure para restringir quién puede actualizar los nodos de Batch.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:reenvía los registros de actividad y diagnóstico Azure Batch a la solución SIEM. Puede usar SIEM para configurar detecciones de amenazas personalizadas. Supervise los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Obtenga alertas de alta calidad para reducir los falsos positivos que los analistas pueden ordenar. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Microsoft Defender para la nube no proporciona evaluaciones de vulnerabilidades para Azure Batch recursos a través de Microsoft Defender. Proporciona recomendaciones basadas en seguridad para Batch.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) para los Azure Batch recursos. Los registros no contienen operaciones de lectura (GET). Puede usar los registros de actividad para encontrar un error al solucionar problemas. O bien, los registros pueden ayudarle a supervisar cómo un usuario de su organización ha modificado un recurso.

Habilite los registros de recursos de Azure Azure Batch para los siguientes tipos de registro: ServiceLog y AllMetrics. Con estos registros, puede investigar incidentes de seguridad y realizar ejercicios forenses. Habilite explícitamente estos registros para cada cuenta de Batch que quiera supervisar. O bien, puede usar Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro a escala.

Para Azure Batch de nivel de recursos, use las API de Azure Batch para supervisar o consultar el estado de los recursos, incluidos:

  • Trabajos
  • Tareas
  • Nodos
  • Grupos

Para obtener más información, consulta los artículos siguientes:

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Azure Policy definiciones integradas: Microsoft.Batch:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Los registros de recursos de las cuentas de Batch deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

LT-6: Configuración de la retención del almacenamiento de registros

Guía:¿Tiene cuentas de almacenamiento o áreas de trabajo de Log Analytics que se usan para almacenar Azure Batch registros? A continuación, establezca el período de retención de registros según las regulaciones de cumplimiento de su organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía:Batch no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio Batch se basa en orígenes de sincronización de hora de Microsoft. No se expone a los clientes para la configuración.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:Para auditar y aplicar las configuraciones de los recursos de Batch, use Microsoft Defender para la nube para configurar los Azure Policy integrados para Azure Batch.

En cualquier escenario en el que no existan definiciones de directiva integradas, puede usar alias Azure Policy en el espacio de nombres "Microsoft.Batch". Use estos alias para crear directivas personalizadas para auditar. O bien, use los alias para aplicar la configuración de las cuentas Azure Batch y los grupos.

Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación. En una sola definición de plano técnico, puede automatizar:

  • Plantillas de Azure Resources Manager
  • Controles RBAC de Azure
  • Directivas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía:Para aplicar una configuración segura para los recursos de Azure relacionados con la cuenta y los grupos de Batch, use las definiciones integradas de Azure Policy para [Deny] e [DeployIfNotExists]. Estos recursos pueden incluir:

  • Redes virtuales
  • Subredes
  • Instancias de Azure Firewall
  • Cuentas de Azure Storage

Para crear directivas personalizadas, también puede usar alias Azure Policy de los siguientes espacios de nombres:

  • Microsoft.Batch

  • Microsoft.Storage

  • Microsoft.Network

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía:Los clientes pueden usar imágenes de sistema operativo personalizadas para Azure Batch. Batch permite a los usuarios instalar y cargar software arbitrario en sus nodos de proceso.

Cuando se usa la configuración de máquina virtual para la Azure Batch, los grupos usan imágenes personalizadas que se asecuen a las necesidades de la organización. Para la administración del ciclo de vida, los grupos almacenan las imágenes en una galería de imágenes compartidas. Puede configurar un proceso de compilación de imágenes seguras mediante herramientas de automatización de Azure, como Azure Image Builder.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía:Los clientes pueden usar imágenes de sistema operativo personalizadas para Batch. Azure Batch permite a los usuarios instalar y cargar software arbitrario en sus nodos de proceso.

Cree una directiva para requerir que los grupos Azure Batch usen solo las imágenes protegidas aprobadas. Esta acción mantiene los recursos de proceso configurados de forma segura en Azure Batch. Para buscar recursos de Azure Batch no aprobados o mal configurados, también puede aplicar la API de Azure o CLI de Azure en un runbook Azure Automation periódica.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía:Si usa imágenes personalizadas para los grupos de Azure Batch, use RBAC de Azure para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes. Almacene imágenes de contenedor en Azure Container Registry. Use RBAC de Azure para asegurarse de que solo los usuarios autorizados tienen acceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-6: Realizar evaluaciones de vulnerabilidades de software

Guía:para Azure Batch de grupo, usted es responsable de administrar cualquier solución administración de vulnerabilidades que se utilice. Azure Batch no proporciona funcionalidades para la evaluación de vulnerabilidades nativa.

¿Tiene una suscripción a Rapid7, Qualys u otra administración de vulnerabilidades plataforma? Puede instalar manualmente agentes de evaluación de vulnerabilidades en nodos del grupo de Batch. A continuación, administre los nodos a través del portal correspondiente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía:Haga hincapié en el uso de un programa de puntuación de riesgo común (por ejemplo, Common Vulnerability Scoring System) o las clasificaciones de riesgo predeterminadas que proporciona la herramienta de análisis de terceros. A continuación, adapte el entorno mediante el contexto para decidir qué aplicaciones:

  • Presentar un alto riesgo de seguridad
  • Requerir un tiempo de actividad alto

Azure Batch actualmente no tiene un examen nativo de vulnerabilidades orientado al cliente. En el caso de la plataforma subyacente que hospeda Batch, Microsoft se asegura de que se corrigen las vulnerabilidades. Para el software que se ejecuta sobre Batch, puede aplicar la API de Azure o CLI de Azure en un runbook Azure Automation periódica. Esta acción examina y actualiza cualquier software potencialmente vulnerable que se ejecute en Azure Batch nodos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía:Azure Batch nodos pueden ejecutar cualquier archivo ejecutable o script que sea compatible con el entorno de sistema operativo del nodo. Para Windows sistemas operativos, use Windows Defender en los nodos individuales Azure Batch grupo de servidores. Para Linux, proporcione su propia solución antimalware.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

ES-3: Asegurarse de que se actualizan el software y las firmas antimalware

Guía:asegúrese de actualizar las firmas antimalware de forma rápida y coherente. Siga las recomendaciones de "Aplicaciones de proceso" de Microsoft Defender para la nube para asegurarse de que todos los puntos de conexión se & actualizan con las firmas más recientes. Azure Batch nodos pueden ejecutar cualquier archivo ejecutable o script compatible con el entorno de sistema operativo del nodo. Para Windows sistemas operativos, use Windows Defender en los nodos individuales Azure Batch grupo de servidores y active las actualizaciones automáticas. De forma predeterminada, Microsoft Antimalware instalará automáticamente las últimas firmas y actualizaciones del motor. Para Linux, use una solución antimalware de terceros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía:Cuando use una cuenta de Azure Storage para el almacén de Azure Batch de datos del grupo de servidores, elija la opción de redundancia adecuada:

  • Almacenamiento con redundancia local (LRS)
  • Almacenamiento con redundancia de zona (ZRS)
  • Almacenamiento con redundancia geográfica (GRS)
  • Almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS).

Haga una copia de seguridad de la cuenta de almacenamiento en Azure Backup Vault con regularidad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-2: Cifrado de los datos de copia de seguridad

Guía:cuando se usa una cuenta Azure Storage para el almacén de datos del grupo de Azure Batch, la cuenta se cifra automáticamente en reposo con claves administradas por Microsoft. Si una organización tiene una necesidad normativa de usar sus propias claves administradas por el cliente para cifrar Azure Batch almacenamiento, Azure almacena estas claves en un Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía:si administra sus propias claves para cuentas de Azure Storage (o cualquier otro recurso relacionado con la implementación de Azure Batch), pruebe periódicamente la restauración de las claves de copia de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Si se usa Azure Key Vault para contener las claves relacionadas con las cuentas de almacenamiento del grupo de Azure Batch, habilite la eliminación temporal en Azure Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes