Línea de base de seguridad de Azure para Azure Cosmos DB

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Cosmos DB. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Cosmos DB.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Cosmos DB y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Cosmos DB se adapta por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Cosmos DB.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: al implementar recursos de Cosmos DB, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación de empresa que se adapte a los riesgos empresariales. Todos los sistemas que podrían suponer un riesgo mayor para la organización deben aislarse en su propia red virtual y estar lo suficientemente protegidos con un grupo de seguridad de red (NSG) o Azure Firewall.

Use una protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de grupos de seguridad de red que limiten los puertos y las IP de origen en función de reglas de tráfico de red externo.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en función de las reglas del grupo de seguridad de red. En el caso de aplicaciones específicas bien definidas (como una aplicación de tres niveles), esta regla puede ser una regla muy segura de "denegación de manera predeterminada".

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. Audit, Deny, Disabled 2.0.0

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: use Azure Private Link para habilitar el acceso privado a Cosmos DB desde sus redes virtuales sin usar Internet.

El acceso privado es una medida de defensa exhaustiva de la seguridad para la autenticación y el tráfico que ofrecen los servicios de Azure.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: proteja los recursos de Cosmos DB de ataques de redes externas, incluidos los ataques de denegación de servicio distribuido (DDoS), los ataques específicos de la aplicación y el tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Cosmos DB no está diseñado para ejecutar aplicaciones web y no requiere que se configuren opciones adicionales ni se implementen servicios de red complementarios para protegerlo de ataques de red externos que tienen como destino aplicaciones web.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. Audit, Deny, Disabled 2.0.0

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para los recursos de Cosmos DB. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

La etiqueta de servicio AzureCosmosDB es compatible con el uso saliente, puede ser regional y se puede usar con Azure Firewall.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: siga los procedimientos recomendados de la seguridad de DNS con el fin de mitigar los ataques comunes, como el DNS pendiente, los ataques de amplificación de DNS, "poisoning" y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Cosmos DB usa Azure Active Directory (Azure AD) como servicio predeterminado de administración de identidades y acceso. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de identidad relativa a los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen una cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos mediante su identidad externa.

Azure Cosmos DB proporciona un control de acceso basado en rol de Azure (Azure RBAC) integrado para escenarios de administración comunes en Azure Cosmos DB. Los usuarios con un perfil en Azure Active Directory pueden asignar estos roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas para conceder o denegar el acceso a recursos y operaciones en los recursos de Azure Cosmos DB. Las asignaciones de roles están dirigidas únicamente al acceso al plano de control, que incluye el acceso a las cuentas, bases de datos, contenedores y ofertas de Azure Cosmos (rendimiento).

Azure Cosmos DB proporciona tres maneras de controlar el acceso a los datos. Las claves principales son secretos compartidos que permiten cualquier operación de administración o de datos. Se incluye en las variantes de lectura y escritura y de solo lectura. El control de acceso basado en roles proporciona un modelo de permisos específico basado en roles mediante identidades de Azure Active Directory (AAD) para la autenticación. Los token de recursos proporcionan un modelo de permisos específico basado en permisos y usuarios nativos de Azure Cosmos DB.

Responsabilidad: Compartido

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Cosmos DB admite identidades administradas para sus recursos de Azure. Use identidades administradas con Cosmos DB en lugar de crear entidades de servicio para acceder a otros recursos. Cosmos DB puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD mediante una regla de concesión de acceso predefinida sin usar las credenciales codificadas de forma rígida en el código fuente o los archivos de configuración.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Cosmos DB se integra con Azure Active Directory (Azure AD) para proporcionar la administración de identidades y el acceso a sus recursos de Azure. Azure Cosmos DB usa dos tipos de claves para autenticar a los usuarios y no admite el inicio de sesión único (SSO) en el nivel del plano de datos. Sin embargo, el acceso al plano de control de Azure Cosmos DB está disponible mediante la API de REST y admite SSO. Para autenticarse, establezca el encabezado de autorización de las solicitudes en JSON Web Token, que se obtiene de Azure AD.

Responsabilidad: Compartido

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Cosmos DB no está pensado para almacenar código; sin embargo, para las plantillas de ARM relacionadas con las implementaciones de Cosmos DB, se recomienda implementar el Examen de credenciales en los repositorios que almacenan esas plantillas para identificar las credenciales dentro de las configuraciones. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados más críticos de Azure AD son los de administrador global y administrador de roles con privilegios, ya que los usuarios que tengan asignados estos dos roles pueden delegar roles de administrador:

  • Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
  • Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel alto. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Puede habilitar el acceso con privilegios cuando es necesario (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Cosmos DB usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y obtener acceso a la asignación con regularidad para asegurarse de que las cuentas y el acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Asimismo, puede configurar Azure AD PIM para enviar una alerta cuando se cree un número excesivo de cuentas de administrador y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Azure Cosmos DB proporciona 5 roles integrados:

  • El Colaborador de cuenta de DocumentDB puede administrar cuentas de Azure Cosmos DB.
  • El Lector de cuenta de Cosmos DB puede leer los datos de la cuenta de Azure Cosmos DB.
  • El Operador de copias de seguridad de Cosmos puede enviar una solicitud de restauración de Azure Portal para una base de datos o un contenedor habilitados para realizar copia de seguridad periódica, y modificar el intervalo de copias de seguridad y la retención en Azure Portal.
  • El rol CosmosRestoreOperator puede realizar una acción de restauración en la cuenta de Azure Cosmos DB con el modo de copia de seguridad continua.
  • El Operador de Cosmos DB puede aprovisionar cuentas, las bases de datos y los contenedores de Azure Cosmos.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Cosmos DB se integra con el control de acceso basado en roles de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Azure Cosmos DB proporciona 5 roles integrados para ayudarle a administrar el acceso a la configuración y a los datos. Proporcione a los usuarios el nivel más bajo de acceso necesario para completar su trabajo.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Cosmos DB no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: Detección, clasificación y etiquetado de datos confidenciales

Guía: Los datos automáticos de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure Cosmos DB. Sin embargo, puede usar la integración de Azure Cognitive Search para la clasificación y el análisis de datos. También puede implementar una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales mediante la restricción del acceso con el control de acceso basado en roles de Azure (Azure RBAC), los controles de acceso basados en la red y los controles específicos de los servicios de Azure (como el cifrado).

Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial y protege a los clientes contra la pérdida y exposición de los datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.

Cosmos DB también admite claves administradas por el cliente para obtener un nivel adicional de cifrado.

Responsabilidad: Compartido

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: Cosmos DB admite la Protección contra amenazas avanzada. Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques de "fuera de banda" (por ejemplo, captura del tráfico) mediante cifrado para que los atacantes no puedan leer ni modificar los datos fácilmente.

Cosmos DB admite el cifrado de datos en tránsito con TLS v1.2 u otra versión posterior.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Todas las conexiones a Azure Cosmos DB admiten HTTPS. Las cuentas creadas después del 29 de julio de 2020 tienen una versión mínima de TLS 1.2 de forma predeterminada. Puede solicitar que la versión mínima de TLS de las cuentas creadas antes del 29 de julio de 2020 se actualice a TLS 1.2. Para ello, póngase en contacto con azurecosmosdbtls@service.microsoft.com.

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Cosmos DB cifra los datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Los datos almacenados en su cuenta de Azure Cosmos se cifran de forma automática y sin problemas con claves administradas por Microsoft (claves administradas por el servicio). También puede optar por agregar una segunda capa de cifrado con las claves administradas (claves administradas por el cliente).

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. audit, deny, disabled 1.0.2

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: aplique etiquetas a las instancias de Azure Cosmos DB y los recursos relacionados con metadatos pertinentes, como el seguimiento de instancias de Azure Cosmos DB que almacenan o procesan información confidencial. Cosmos DB no permite ejecutar una aplicación ni instalar software en sus recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Cosmos DB admite la opción para denegar las implementaciones de recursos con Azure Policy, lo que le permite restringir las implementaciones en las que este servicio aún no está aprobado. Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno según sus necesidades de seguridad. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: use la funcionalidad integrada de detección de amenazas de Microsoft Defender for Cloud y habilite Microsoft Defender para los recursos de Cosmos DB. Microsoft Defender para Cosmos DB proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a los recursos de Cosmos DB.

Reenvíe los registros de Cosmos DB a su SIEM, ya que puede usarse para configurar detecciones de amenazas personalizadas. Asegúrese de que supervisa distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión/SIEM para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta capacidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Cosmos DB no implementa ningún recurso directamente en redes virtuales. Sin embargo, Cosmos DB permite usar puntos de conexión privados para conectarse de forma segura a sus recursos desde una red virtual. Cosmos DB tampoco genera ni procesa registros de consulta de DNS que deban habilitarse.

Habilite el registro en los puntos de conexión privados configurados de Cosmos DB para capturar:

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Cosmos DB, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Cosmos DB. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y la realización de ejercicios forenses.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: centralice el registro, el almacenamiento y el análisis de los registros de Cosmos DB. Asegúrese de que va a integrar los registros de actividad de Azure que hayan generado las acciones de administración de Cosmos DB en la solución de registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Asimismo, habilite e incorpore los datos a Azure Sentinel o a un SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso que se usan frecuentemente y Azure Storage para los datos inactivos que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros creados por los recursos de Cosmos DB tengan el período de retención de registros configurado de acuerdo a la normativa de cumplimiento de la organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: puede usar Azure Blueprints para automatizar la implementación y configuración del servicio de Cosmos DB, incluidas las plantillas de Azure Resource Manager, los controles de Azure RBAC y las directivas, en una única definición de plano técnico.

Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para supervisar la línea base de configuración y aplicar estas configuraciones mediante los efectos de Azure Policy [denegar] e [implementar si no existe] para mantener una configuración segura en todos los recursos de Cosmos DB.

Use los alias de Azure Policy en el espacio de nombres "Microsoft.DocumentDB" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. El soporte técnico de Azure está disponible solo para algunos planes, por ejemplo, Estándar o Desarrollador, y planes superiores. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de Cosmos DB, asegúrese de realizar copias de seguridad automatizadas de las claves.

Responsabilidad: Compartido

BR-2: Cifrado de los datos de copia de seguridad

Guía: Todos los datos almacenados en Azure Cosmos DB se cifran en reposo. No hay ningún control para activarlo o desactivarlo. Azure Cosmos DB usa el cifrado de AES-256 en todas las regiones donde se ejecuta la cuenta.

de manera predeterminada, Microsoft administra las claves que se usan para cifrar los datos de la cuenta de Azure Cosmos. también puede optar por agregar una segunda capa de cifrado con sus propias claves.

Responsabilidad: Microsoft

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de Cosmos DB que están cifradas con claves administradas por el cliente, asegúrese de realizar copias de seguridad automatizadas periódicas de las claves.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves de clave de cifrado frente a una eliminación accidental o malintencionada.

Responsabilidad: Customer

Pasos siguientes