Base de referencia de seguridad de Azure para Container Instances

Esta línea base de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark en Container Instances. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos en Azure Security Benchmark y las directrices relacionadas aplicables a Container Instances.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Container Instances y aquellos para los que se recomienda seguir la guía global al pie de la letra. Para ver cómo Container Instances se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de la línea base de seguridad de Container Instances.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Integre los grupos de contenedores de Azure Container Instances en una red virtual de Azure. Las redes virtuales de Azure le permiten colocar cualquier recurso de Azure, como grupos de contenedores, en una red enrutable que no sea Internet.

Controle el acceso de red saliente desde una subred delegada a Azure Container Instances mediante Azure Firewall.

Responsabilidad: Customer

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: use Microsoft Defender for Cloud y siga las recomendaciones de protección de redes para proteger los recursos de red en Azure. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

1.3: Proteja las aplicaciones web críticas

Guía: Proteja todas las aplicaciones accesibles a Internet en ACI mediante la implementación de una instancia de Azure Web Application Firewall (en Application Gateway) delante de la aplicación. Conduzca todo el tráfico saliente de la aplicación a través de un dispositivo de Azure Firewall y supervise los registros.

Responsabilidad: Customer

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Habilite la protección contra DDoS estándar en las redes virtuales de Azure para protegerse frente a ataques DDoS. Use la inteligencia sobre amenazas integrada de Microsoft Defender for Cloud para denegar las comunicaciones con direcciones IP malintencionadas conocidas o no utilizadas. Implemente Azure Firewall en cada uno de los límites de red de la organización con la inteligencia de amenazas habilitada y configurada para alertar y denegar el tráfico de red malintencionado.

Use el acceso de red Just-in-Time de Microsoft Defender for Cloud para configurar los NSG a fin de limitar la exposición de los puntos de conexión a las direcciones IP aprobadas durante un período limitado. Además, use La protección de red adaptable de Microsoft Defender para la nube para recomendar configuraciones de NSG que limiten los puertos y las direcciones IP de origen en función del tráfico real y la inteligencia sobre amenazas.

Responsabilidad: Customer

1.5: Registro de los paquetes de red

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, puede habilitar los registros de flujo de grupos de seguridad de red (NSG) para el grupo de seguridad de red conectado a la subred que se usa para proteger el registro de contenedor de Azure. A continuación, puede registrar los registros de flujo de NSG en una cuenta de Azure Storage. Si es necesario para investigar actividades anómalas, también puede habilitar la captura de paquetes de Azure Network Watcher.

Responsabilidad: Customer

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Guía: Seleccione una oferta de Azure Marketplace que admita la funcionalidad de IDS/IPS con funcionalidades de inspección de carga. Si la detección y/o la prevención de intrusiones basadas en la inspección de carga no es un requisito, se puede usar Azure Firewall con la inteligencia sobre amenazas. El filtrado basado en inteligencia sobre amenazas de Azure Firewall puede alertar y denegar el tráfico desde y hacia los dominios y las direcciones IP malintencionados conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft.

Implemente la solución de firewall que prefiera en cada uno de los límites de red de su organización para detectar y/o denegar el tráfico malintencionado.

Responsabilidad: Customer

1.7: Administre el tráfico a las aplicaciones web

Guía: Si usa Azure Container Instances para hospedar aplicaciones web, puede implementar Azure Application Gateway con HTTPS/SSL habilitado para certificados de confianza. A continuación, puede dirigir el tráfico web de la aplicación a través del Application Gateway al grupo de contenedores.

Responsabilidad: Customer

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Si utiliza un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, para los recursos que necesitan acceder al registro de contenedores, utilice etiquetas de servicio de red virtual para el servicio Azure Container Registry con el fin de definir los controles de acceso a la red en los grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio "AzureContainerRegistry" en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Cuando se usa Azure Container Registry con Azure Container Instances, se recomienda definir e implementar configuraciones de seguridad estándar para los recursos de red asociados al registro de contenedor de Azure.

Use alias de Azure Policy en los espacios de nombres Microsoft.ContainerRegistry y Microsoft.Network para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de los registros de contenedor.

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos del entorno clave, como plantillas de Azure Resource Manager, controles de RBAC de Azure y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

Responsabilidad: Customer

1.10: Documente las reglas de configuración de tráfico

Guía: También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como plantillas de Azure Resource Manager, controles de Azure RBAC y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Instrucciones: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en los recursos de red relacionados con los grupos de los registros de contenedor. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft mantiene los orígenes de hora de los recursos de Azure; sin embargo, tiene la opción de administrar la configuración de la sincronización de hora de los recursos de proceso.

Responsabilidad: Microsoft

2.2: Configuración de la administración central de registros de seguridad

Guía: ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por una instancia de Azure Container Instance. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Instrucciones: Azure Monitor recopila registros de recursos (anteriormente denominados registros de diagnóstico) de eventos controlados por el usuario. Recopile y consuma estos datos para auditar los eventos de autenticación del contenedor y proporcionar un seguimiento de la actividad completo en los artefactos, como los eventos de extracción e inserción, para que pueda diagnosticar problemas de seguridad con el grupo de contenedores.

Responsabilidad: Customer

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Instrucciones: En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Guía: Analice y supervise los registros de Azure Container Instances en busca de comportamientos anómalos y revise los resultados con regularidad. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: Use el área de trabajo de Azure Log Analytics para supervisar y alertar sobre actividades anómalas en registros de seguridad y eventos relacionados con la Azure Container Instances o Azure Container Registries.

Responsabilidad: Customer

2.8: Centralización del registro antimalware

Guía: Azure Container Instances es una oferta de PaaS totalmente administrada y Microsoft es responsable de instalar y administrar el registro de protección & contra malware.

Responsabilidad: Microsoft

2.9: Habilitación del registro de consultas DNS

Guía: Azure Container Instances no expone sus configuraciones DNS subyacentes, Microsoft mantiene estas opciones.

Responsabilidad: Microsoft

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, para cada registro de contenedor de Azure, compruebe si la cuenta de administrador integrada está habilitada o deshabilitada. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure Active Directory (Azure AD) no tiene el concepto de contraseñas predeterminadas. Otros recursos de Azure que requieren una contraseña obligan a crear una contraseña con requisitos de complejidad y una longitud mínima, que cambia en función del servicio. Es responsable de las aplicaciones de terceros y de los servicios de Marketplace que pueden usar contraseñas predeterminadas.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances y la cuenta de administrador predeterminada de dicho registro está habilitada, se crean automáticamente contraseñas complejas, que se deben rotar. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use la administración de identidad y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, cree procedimientos para habilitar la cuenta de administrador integrada de un registro de contenedor. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use las recomendaciones de acceso y administración de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de Administración de identidades y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: use PAW (estaciones de trabajo de acceso con privilegios) con la autenticación multifactor configurada para iniciar sesión y configurar los recursos de Azure.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Use los informes de seguridad de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzcan actividades sospechosas o no seguras en el entorno. Use Microsoft Defender for Cloud para supervisar la actividad de identidad y acceso.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Puede usar orígenes de registro de actividad de inicio de sesión de Azure Active Directory (Azure AD), auditoría y riesgos para la supervisión, lo que permite realizar la integración con cualquier herramienta de administración de eventos e información de seguridad (SIEM) y de supervisión.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten relacionadas con las identidades de los usuarios.

Responsabilidad: Customer

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Guía: No disponible; Caja de seguridad del cliente todavía no se admite en Azure Container Instances.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Guía: Use etiquetas para ayudar a realizar el seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Imágenes de contenedor de etiquetas y versiones u otros artefactos en un registro, y bloquear imágenes o repositorios, para ayudar a realizar el seguimiento de las imágenes que almacenan o procesan información confidencial.

Responsabilidad: Customer

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Implemente registros de contenedor separados, suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Los recursos que almacenan o procesan datos confidenciales deben estar suficientemente aislados.

Los recursos deben estar separados por red virtual o subred, etiquetados adecuadamente y protegidos por un grupo de seguridad de red (NSG) o Azure Firewall.

Responsabilidad: Customer

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Implemente una herramienta automatizada en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias al tiempo que alerta a los profesionales de seguridad de la información.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Asegúrese de que los clientes que se conectan a Azure Container Registry pueden negociar un TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.

Siga las recomendaciones de Microsoft Defender for Cloud para el cifrado en reposo y el cifrado en tránsito, si procede.

Responsabilidad: Compartido

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, las características de identificación de datos, clasificación y prevención de pérdidas no están disponibles para Azure Container Registry. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

4.6: Uso del control de acceso basado en rol para controlar el acceso a los recursos

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los datos y recursos de un registro de contenedor de Azure.

Responsabilidad: Customer

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Guía: Si se requiere, implemente una herramienta de terceros para el cumplimiento de los recursos de proceso, como una solución de prevención de pérdida de datos basada en host automatizada, para aplicar controles de acceso a los datos incluso cuando se copian datos de un sistema.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

4.8: Cifrado de información confidencial en reposo

Guía: Use el cifrado en reposo en todos los recursos de Azure. Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, de forma predeterminada, todos los datos de un registro de contenedor de Azure se cifran en reposo mediante claves administradas por Microsoft.

Responsabilidad: Customer

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Las áreas de trabajo de Log Analytics proporcionan una ubicación centralizada para almacenar y consultar datos de registro no solo de los recursos de Azure, sino también de los recursos locales y de los recursos de otras nubes. Azure Container Instances incluye compatibilidad integrada para el envío de registros y datos de evento a los registros de Azure Monitor.

Responsabilidad: Customer

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía: Aproveche las soluciones para analizar imágenes de contenedor en un registro privado e identificar posibles puntos vulnerables. Es importante comprender el nivel de detalles de la detección de amenazas que proporcionan las distintas soluciones. Siga las recomendaciones de Microsoft Defender for Cloud sobre cómo llevar a cabo evaluaciones de vulnerabilidades en las imágenes de contenedor. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen.

Responsabilidad: Customer

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Guía: Automatice las actualizaciones de imágenes de contenedor cuando se detecten actualizaciones de imágenes base desde el sistema operativo y otras revisiones.

Microsoft realiza la administración de revisiones para los sistemas subyacentes que admiten la ejecución de Azure Container Instances.

Responsabilidad: Compartido

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Guía: Puede usar una solución de terceros para aplicar revisiones a las imágenes de la aplicación. Además, si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, puede ejecutar tareas de Azure Container Registry para automatizar las actualizaciones de las imágenes de la aplicación en un registro de contenedor basado en revisiones de seguridad u otras actualizaciones de imágenes base.

Responsabilidad: Customer

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía: si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, integre Azure Container Registry (ACR) con Microsoft Defender for Cloud para habilitar el examen periódico de las imágenes de contenedor con el fin de detectar vulnerabilidades. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen.

Responsabilidad: Customer

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía: si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, integre Azure Container Registry (ACR) con Microsoft Defender for Cloud para habilitar el examen periódico de las imágenes de contenedor con el fin de detectar vulnerabilidades y clasificar riesgos. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen y clasificación de riesgos.

Responsabilidad: Customer

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, ACR mantiene metadatos, como etiquetas y manifiestos para las imágenes de un registro. Siga las prácticas recomendadas para etiquetar artefactos.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, ACR mantiene metadatos, como etiquetas y manifiestos para las imágenes de un registro. Siga las prácticas recomendadas para etiquetar artefactos.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: Tendrá que crear un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades de la organización.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones.

Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Guía: Si usa un registro privado basado en la nube como Azure Container Registry (ACR) con Azure Container Instances, analice y supervise los registros de Azure Container Registry en busca de un comportamiento anómalo y revise los resultados con regularidad. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Azure Automation proporciona un control completo durante la implementación, las operaciones y la retirada de las cargas de trabajo y recursos. Puede implementar su propia solución para quitar un software no autorizado.

Responsabilidad: Customer

6.8: Uso exclusivo de aplicaciones aprobadas

Guía: Desarrolle y administre una lista de permitidos de los archivos y ejecutables necesarios para que la aplicación funcione correctamente y configure el examen de contenedores para detectar las aplicaciones no aprobadas. También puede examinar las imágenes de contenedor almacenadas en Azure Container Registry con Microsoft Defender for Containers para encontrar vulnerabilidades presentes en esas imágenes.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Instrucciones: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

6.10: Mantenimiento de un inventario de títulos de software aprobados

Guía: Desarrolle y administre una lista de permitidos de los archivos y ejecutables necesarios para que la aplicación que se ejecute en Azure Container Instances funcione correctamente. Realice revisiones de seguridad periódicas para los cambios en esta lista y establezca un proceso central para administrar y actualizar los títulos de software aprobados para su organización.

Responsabilidad: Customer

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Use configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

Responsabilidad: Customer

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Guía: Use configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

Responsabilidad: Customer

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: El software que se requiere para las operaciones empresariales, pero que puede suponer un riesgo mayor para la organización, debe aislarse en su propia máquina virtual o red virtual y estar lo suficientemente protegida con Azure Firewall o un grupo de seguridad de red.

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: use Azure Policy o Microsoft Defender for Cloud para mantener configuraciones de seguridad para todos los recursos de Azure.

Responsabilidad: Customer

7.2: Establezca configuraciones del sistema operativo seguras

Guía: No aplicable a Azure Container Instances (ACI). ACI proporciona de forma predeterminada un sistema operativo (SO) de host optimizado para seguridad para la infraestructura subyacente. Actualmente, no hay ninguna opción para seleccionar otro sistema operativo o uno personalizado.

Responsabilidad: No aplicable

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

7.4: Mantenga configuraciones del sistema operativo seguras

Guía: No aplicable a Azure Container Instances (ACI). ACI proporciona de forma predeterminada un sistema operativo (SO) de host optimizado para seguridad para la infraestructura subyacente. Actualmente, no hay ninguna opción para seleccionar otro sistema operativo o uno personalizado.

Responsabilidad: No aplicable

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones de directivas personalizadas de Azure, use Azure Repos para almacenar y administrar el código de forma segura.

Responsabilidad: Customer

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Guía: No aplicable a Azure Container Instances (ACI). ACI proporciona de forma predeterminada un sistema operativo (SO) de host optimizado para seguridad. Actualmente, no hay ninguna opción para seleccionar otro sistema operativo o uno personalizado.

Responsabilidad: No aplicable

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Instrucciones: Use Azure Policy para alertar, auditar y aplicar las configuraciones del sistema. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

7.8: Implementación de herramientas de administración de la configuración para sistemas operativos

Guía: No aplicable, microsoft protege y configura Azure Container Instances sistema operativo del host subyacente. En el caso de las imágenes de contenedores que se ejecutan sobre el servicio, se recomienda lograr la administración de esas imágenes a través de un proceso de compilación de imágenes segura mediante una canalización de CI/CD o una herramienta de compilación de imágenes.

Responsabilidad: No aplicable

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: use Microsoft Defender for Cloud para llevar a cabo exámenes de línea de base para los recursos de Azure.

Aplique Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Guía: use Microsoft Defender for Cloud para llevar a cabo exámenes de línea de base para el sistema operativo y de la configuración de Docker para los contenedores.

Responsabilidad: Customer

7.11: Administre los secretos de Azure de forma segura

Instrucciones: Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos para las aplicaciones en la nube.

Responsabilidad: Customer

7.12: Administre las identidades de forma segura y automática

Instrucciones: Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure Active Directory (Azure AD). Identidades administradas le permite autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Azure Key Vault, sin necesidad de credenciales en el código.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Use software antimalware administrado centralmente

Guía: Use el antimalware de Microsoft para Azure Cloud Services y Virtual Machines para supervisar y defender continuamente los recursos. Para Linux, use una solución antimalware de terceros.

Responsabilidad: Customer

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: Examine previamente los archivos que se cargan en los recursos de ACI. Use la detección de amenazas de Security Center para los servicios de datos para detectar malware cargado en cuentas de almacenamiento si usa una cuenta de Azure Storage como almacén de datos.

Para la infraestructura de servicio subyacente, Microsoft controla el examen de archivos.

Responsabilidad: Compartido

8.3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Microsoft controla el antimalware para el servicio Container Instance subyacente y la plataforma Azure.

Responsabilidad: Microsoft

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Si usa un registro privado basado en la nube como Azure Container Registry (ACR) con Azure Container Instances, los datos del registro de contenedor de Microsoft Azure siempre se replican automáticamente para garantizar la durabilidad y la alta disponibilidad. Azure Container Registry copia los datos para protegerse de los eventos planeados y no planeados.

Opcionalmente, puede replicar geográficamente un registro de contenedor para mantener las réplicas del registro en varias regiones de Azure.

Responsabilidad: Customer

9.2: Realización de copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Instrucciones: Opcionalmente, haga una copia de seguridad de las imágenes de contenedor importando de un registro a otro.

Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault con las herramientas de línea de comandos o los SDK de Azure.

Responsabilidad: Customer

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault con las herramientas de línea de comandos o los SDK de Azure.

Responsabilidad: Customer

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: habilite la eliminación temporal en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza en que Microsoft Defender for Cloud se encuentra en la búsqueda o en el análisis que se usa para emitir la alerta. La gravedad también está vinculada al nivel de confianza de que había intenciones malintencionadas detrás de la actividad que llevó a la alerta.

Adicionalmente, marque las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: use la característica de Automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Pasos siguientes