Base de referencia de seguridad de Azure para Container Instances

  • Artículo
  • Tiempo de lectura: 40 minutos

Esta línea base de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark en Container Instances. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos en Azure Security Benchmark y las directrices relacionadas aplicables a Container Instances.

Nota

Se han excluido los Container Instances que no son aplicables a las instrucciones globales y aquellos para los que se recomienda la guía global. Para ver cómo se Container Instances completamente a Azure Security Benchmark, consulte el archivo de asignación Container Instances base de referencia de seguridad completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Integre los grupos de contenedores de Azure Container Instances en una red virtual de Azure. Las redes virtuales de Azure le permiten colocar cualquier recurso de Azure, como grupos de contenedores, en una red enrutable que no sea Internet.

Controle el acceso de red saliente desde una subred delegada a Azure Container Instances mediante Azure Firewall.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía:Use Microsoft Defender para la nube y siga las recomendaciones de protección de red para ayudar a proteger los recursos de red en Azure. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.3: Proteja las aplicaciones web críticas

Guía:Proteja una aplicación accesible desde Internet en una ACI mediante la implementación de un Web Application Firewall habilitado para aplicaciones delante de la aplicación. Conduzca todo el tráfico saliente de la aplicación a través de un dispositivo de Azure Firewall y supervise los registros.

¿Qué es el firewall de aplicaciones web de Azure?

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Habilite la protección contra DDoS estándar en las redes virtuales de Azure para protegerse frente a ataques DDoS. Use Microsoft Defender para Cloud Integrated Threat Intelligence para denegar las comunicaciones con direcciones IP de Internet malintencionadas o no usadas conocidas. Implemente Azure Firewall en cada uno de los límites de red de la organización con la inteligencia de amenazas habilitada y configurada para alertar y denegar el tráfico de red malintencionado.

Puede usar el acceso a la red Just-In-Time de Microsoft Defender para la nube para configurar los NSG con el fin de limitar la exposición de los puntos de conexión a las direcciones IP aprobadas durante un período limitado. Además, use Microsoft Defender para la protección de red adaptable en la nube para recomendar configuraciones de NSG que limiten los puertos y las IP de origen en función del tráfico real y la inteligencia sobre amenazas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, puede habilitar los registros de flujo de grupos de seguridad de red (NSG) para el grupo de seguridad de red conectado a la subred que se usa para proteger el registro de contenedor de Azure. Anote los registros de flujo del grupo de seguridad de red en una cuenta de Azure Storage para generar registros de flujo. Si es necesario para investigar actividades anómalas, habilite la captura de paquetes de Azure Network Watcher.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Guía: Seleccione una oferta de Azure Marketplace que admita la funcionalidad de IDS/IPS con funcionalidades de inspección de carga. Si la detección y/o la prevención de intrusiones basadas en la inspección de carga no es un requisito, se puede usar Azure Firewall con la inteligencia sobre amenazas. El filtrado basado en inteligencia sobre amenazas de Azure Firewall puede alertar y denegar el tráfico desde y hacia los dominios y las direcciones IP malintencionados conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft.

Implemente la solución de firewall que prefiera en cada uno de los límites de red de su organización para detectar y/o denegar el tráfico malintencionado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.7: Administre el tráfico a las aplicaciones web

Guía: No aplicable. La prueba comparativa está pensada para aplicaciones web que se ejecutan en Azure App Service o recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Si utiliza un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, para los recursos que necesitan acceder al registro de contenedores, utilice etiquetas de servicio de red virtual para el servicio Azure Container Registry con el fin de definir los controles de acceso a la red en los grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio "AzureContainerRegistry" en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Cuando se usa Azure Container Registry con Azure Container Instances, se recomienda definir e implementar configuraciones de seguridad estándar para los recursos de red asociados al registro de contenedor de Azure.

Use alias de Azure Policy en los espacios de nombres Microsoft.ContainerRegistry y Microsoft.Network para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de los registros de contenedor.

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos del entorno clave, como plantillas de Azure Resource Manager, controles de RBAC de Azure y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como plantillas de Azure Resource Manager, controles de Azure RBAC y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Instrucciones: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en los recursos de red relacionados con los grupos de los registros de contenedor. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft mantiene los orígenes de hora de los recursos de Azure; sin embargo, tiene la opción de administrar la configuración de la sincronización de hora de los recursos de proceso.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

2.2: Configuración de la administración central de registros de seguridad

Guía: ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por una instancia de Azure Container Instance. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Instrucciones: Azure Monitor recopila registros de recursos (anteriormente denominados registros de diagnóstico) de eventos controlados por el usuario. Recopile y consuma estos datos para auditar los eventos de autenticación del contenedor y proporcionar un seguimiento de la actividad completo en los artefactos, como los eventos de extracción e inserción, para que pueda diagnosticar problemas de seguridad con el grupo de contenedores.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Instrucciones: En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Guía: Analice y supervise los registros de Azure Container Instances en busca de comportamientos anómalos y revise los resultados con regularidad. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, use el área de trabajo de Azure Log Analytics para la supervisión y alerta de actividades anómalas en registros de seguridad y eventos relacionados con el registro de contenedor de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.8: Centralización del registro antimalware

Guía: No aplicable. Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, el registro de contenedor de Azure no procesa ni genera registros relacionados con antimalware.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.9: Habilitación del registro de consultas DNS

Guía: No aplicable. Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, el registro de contenedor de Azure es un punto de conexión y no inicia la comunicación, y el servicio no consulta DNS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, para cada registro de contenedor de Azure, compruebe si la cuenta de administrador integrada está habilitada o deshabilitada. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure Active Directory (Azure AD) no tiene el concepto de contraseñas predeterminadas. Otros recursos de Azure que requieren una contraseña obligan a crear una contraseña con requisitos de complejidad y una longitud mínima, que cambia en función del servicio. Es responsable de las aplicaciones de terceros y de los servicios de Marketplace que pueden usar contraseñas predeterminadas.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances y la cuenta de administrador predeterminada de dicho registro está habilitada, se crean automáticamente contraseñas complejas, que se deben rotar. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use Microsoft Defender para Cloud Identity and Access Management para supervisar el número de cuentas administrativas.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, cree procedimientos para habilitar la cuenta de administrador integrada de un registro de contenedor. Deshabilite la cuenta cuando no esté en uso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use Microsoft Defender para las recomendaciones de Administración de identidades y acceso en la nube.

Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, para el acceso individual al registro de contenedor, use el inicio de sesión individual integrado con Azure AD.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para Cloud Identity and Access Management.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: Utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Use los informes de seguridad de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzcan actividades sospechosas o no seguras en el entorno. Use Microsoft Defender para la nube para supervisar la actividad de identidad y acceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Puede usar orígenes de registro de actividad de inicio de sesión de Azure Active Directory (Azure AD), auditoría y riesgos para la supervisión, lo que permite realizar la integración con cualquier herramienta de administración de eventos e información de seguridad (SIEM) y de supervisión.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten relacionadas con las identidades de los usuarios.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Guía: No disponible; Caja de seguridad del cliente todavía no se admite en Azure Container Instances.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Guía: Use etiquetas para ayudar a realizar el seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Imágenes de contenedor de etiquetas y versiones u otros artefactos en un registro, y bloquear imágenes o repositorios, para ayudar a realizar el seguimiento de las imágenes que almacenan o procesan información confidencial.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Implemente registros de contenedor separados, suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Los recursos que almacenan o procesan datos confidenciales deben estar suficientemente aislados.

Los recursos deben separarse mediante una red virtual o subred, etiquetarse adecuadamente y protegerse con grupos de seguridad de red (NSG) o Azure Firewall.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Implemente una herramienta automatizada en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias al tiempo que alerta a los profesionales de seguridad de la información.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Asegúrese de que los clientes que se conectan a Azure Container Registry pueden negociar un TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.

Siga las recomendaciones de Microsoft Defender para la nube para el cifrado en reposo y el cifrado en tránsito, si procede.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, las características de identificación de datos, clasificación y prevención de pérdidas no están disponibles para Azure Container Registry. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso del control de acceso basado en rol para controlar el acceso a los recursos

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry con Azure Container Instances, use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los datos y recursos de un registro de contenedor de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Guía: Si se requiere, implemente una herramienta de terceros para el cumplimiento de los recursos de proceso, como una solución de prevención de pérdida de datos basada en host automatizada, para aplicar controles de acceso a los datos incluso cuando se copian datos de un sistema.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todos los datos de los clientes como confidenciales y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.8: Cifrado de información confidencial en reposo

Guía: Use el cifrado en reposo en todos los recursos de Azure. Si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, de forma predeterminada, todos los datos de un registro de contenedor de Azure se cifran en reposo mediante claves administradas por Microsoft.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Las áreas de trabajo de Log Analytics proporcionan una ubicación centralizada para almacenar y consultar datos de registro no solo de los recursos de Azure, sino también de los recursos locales y de los recursos de otras nubes. Azure Container Instances incluye compatibilidad integrada para el envío de registros y datos de evento a los registros de Azure Monitor.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía: Aproveche las soluciones para analizar imágenes de contenedor en un registro privado e identificar posibles puntos vulnerables. Es importante comprender el nivel de detalles de la detección de amenazas que proporcionan las distintas soluciones. Siga las recomendaciones de Microsoft Defender para la nube sobre cómo realizar evaluaciones de vulnerabilidades en las imágenes de contenedor. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Instrucciones: Microsoft realiza la administración de revisiones en los sistemas subyacentes que admiten contenedores en ejecución.

Automatización de las actualizaciones de imágenes de contenedor cuando se detectan actualizaciones de las imágenes base del sistema operativo y otras revisiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Guía: Puede usar una solución de terceros para aplicar revisiones a las imágenes de la aplicación. Además, si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, puede ejecutar tareas de Azure Container Registry para automatizar las actualizaciones de las imágenes de la aplicación en un registro de contenedor basado en revisiones de seguridad u otras actualizaciones de imágenes base.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía:si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, integre Azure Container Registry (ACR) con Microsoft Defender for Cloud para habilitar el examen periódico de imágenes de contenedor en busca de vulnerabilidades. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía:si usa un registro privado basado en la nube como Azure Container Registry con Azure Container Instances, integre Azure Container Registry (ACR) con Microsoft Defender for Cloud para habilitar el examen periódico de imágenes de contenedor en busca de vulnerabilidades y clasificar los riesgos. Opcionalmente, puede implementar soluciones de terceros de Azure Marketplace para realizar evaluaciones de vulnerabilidades de imagen y clasificación de riesgos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía:Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.). dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, ACR mantiene metadatos, como etiquetas y manifiestos para las imágenes de un registro. Siga las prácticas recomendadas para etiquetar artefactos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Guía: Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, ACR mantiene metadatos, como etiquetas y manifiestos para las imágenes de un registro. Siga las prácticas recomendadas para etiquetar artefactos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: Tendrá que crear un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones.

Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Guía: Si usa un registro privado basado en la nube como Azure Container Registry (ACR) con Azure Container Instances, analice y supervise los registros de Azure Container Registry en busca de un comportamiento anómalo y revise los resultados con regularidad. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Azure Automation proporciona un control completo durante la implementación, las operaciones y la retirada de las cargas de trabajo y recursos. Puede implementar su propia solución para quitar un software no autorizado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.8: Uso exclusivo de aplicaciones aprobadas

Guía: No aplicable. La prueba comparativa está pensada para recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Instrucciones: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.10: Mantenimiento de un inventario de títulos de software aprobados

Guía: No aplicable. La prueba comparativa está pensada para recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Use configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Guía: Use configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: El software que se requiere para las operaciones empresariales, pero que puede suponer un riesgo mayor para la organización, debe aislarse en su propia máquina virtual o red virtual y estar lo suficientemente protegida con Azure Firewall o un grupo de seguridad de red.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía:use Azure Policy o Microsoft Defender para la nube para mantener configuraciones de seguridad para todos los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.2: Establezca configuraciones del sistema operativo seguras

Guía:Use la recomendación de Microsoft Defender para la nube "Corregir vulnerabilidades en las configuraciones de seguridad en la Virtual Machines" para mantener las configuraciones de seguridad en todos los recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.4: Mantenga configuraciones del sistema operativo seguras

Guía: no aplica; este control está pensado para recursos de proceso.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones de directivas personalizadas de Azure, use Azure Repos para almacenar y administrar el código de forma segura.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Guía: No aplicable; este control solo se aplica a los recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Instrucciones: Use Azure Policy para alertar, auditar y aplicar las configuraciones del sistema. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.8: Implementación de herramientas de administración de la configuración para sistemas operativos

Instrucciones: No aplicable. La prueba comparativa se aplica principalmente a los recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía:Use Microsoft Defender para la nube para realizar exámenes de línea base para los recursos de Azure.

Aplique Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Guía:Use Microsoft Defender para la nube para realizar exámenes de línea de base para el sistema operativo y Docker Configuración contenedores.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Instrucciones: Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos para las aplicaciones en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Instrucciones: Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure Active Directory (Azure AD). Identidades administradas le permite autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Azure Key Vault, sin necesidad de credenciales en el código.

Si usa un registro privado basado en la nube, como Azure Container Registry (ACR) con Azure Container Instances, audite el cumplimiento de los registros de contenedor de Azure mediante Azure Policy.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Uso de software antimalware administrado centralmente

Guía: Use Microsoft Antimalware para Azure Cloud Services y Virtual Machines para supervisar y defender continuamente sus recursos. Para Linux, use una solución antimalware de terceros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Container Instances), pero no se ejecuta en los datos del cliente.

Examine previamente los archivos que se cargan en recursos de Azure que no son de proceso, como App Service, Data Lake Storage, Blob Storage, etc.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

8.3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía:Microsoft controla el antimalware para el servicio Container Instance subyacente y la plataforma Azure.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Si usa un registro privado basado en la nube como Azure Container Registry (ACR) con Azure Container Instances, los datos del registro de contenedor de Microsoft Azure siempre se replican automáticamente para garantizar la durabilidad y la alta disponibilidad. Azure Container Registry copia los datos para protegerse de los eventos planeados y no planeados.

Opcionalmente, puede replicar geográficamente un registro de contenedor para mantener las réplicas del registro en varias regiones de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.2: Realización de copias de seguridad completas del sistema y copias de seguridad de las claves administradas por el cliente

Instrucciones: Opcionalmente, haga una copia de seguridad de las imágenes de contenedor importando de un registro a otro.

Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault con las herramientas de línea de comandos o los SDK de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault con las herramientas de línea de comandos o los SDK de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Habilite la eliminación temporal en Azure Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o el analítico usado para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que condujo a la alerta.

Adicionalmente, marque las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes