Línea de base de seguridad de Azure para Azure Cosmos DB

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Cosmos DB. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Cosmos DB.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Cosmos DB y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Cosmos DB se adapta por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Cosmos DB.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: al implementar recursos de Cosmos DB, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación de empresa que se adapte a los riesgos empresariales. Todos los sistemas que podrían suponer un riesgo mayor para la organización deben aislarse en su propia red virtual y estar lo suficientemente protegidos con un grupo de seguridad de red (NSG) o Azure Firewall.

Use una protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de grupos de seguridad de red que limiten los puertos y las IP de origen en función de reglas de tráfico de red externo.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en función de las reglas del grupo de seguridad de red. En el caso de aplicaciones específicas bien definidas (como una aplicación de tres niveles), esta regla puede ser una regla muy segura de "denegación de manera predeterminada".

• Creación de un grupo de seguridad de red con reglas de seguridad

• Implementación y configuración de Azure Firewall

• Configuración de Azure Private Link para una cuenta de Azure Cosmos

• Configuración del firewall de IP en Azure Cosmos DB

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall.	Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles.	Audit, Deny, Disabled	2.0.0

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

• Qué son los modelos de conectividad de ExpressRoute

• Información general sobre la red privada virtual de Azure

• Interconexión de red virtual

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: use Azure Private Link para habilitar el acceso privado a Cosmos DB desde sus redes virtuales sin usar Internet.

El acceso privado es una medida de defensa exhaustiva de la seguridad para la autenticación y el tráfico que ofrecen los servicios de Azure.

• ¿Qué es Azure Private Link?

• Configuración de Azure Private Link para una cuenta de Azure Cosmos

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: proteja los recursos de Cosmos DB de ataques de redes externas, incluidos los ataques de denegación de servicio distribuido (DDoS), los ataques específicos de la aplicación y el tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Cosmos DB no está diseñado para ejecutar aplicaciones web y no requiere que se configuren opciones adicionales ni se implementen servicios de red complementarios para protegerlo de ataques de red externos que tienen como destino aplicaciones web.

• Documentación sobre Azure Firewall

• Administración de Azure DDoS Protection estándar mediante Azure Portal

• Recomendaciones de Microsoft Defender for Cloud

• Inicio rápido: Creación y configuración de Azure DDoS Protection Estándar

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall.	Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles.	Audit, Deny, Disabled	2.0.0

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para los recursos de Cosmos DB. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

La etiqueta de servicio AzureCosmosDB es compatible con el uso saliente, puede ser regional y se puede usar con Azure Firewall.

• Descripción y uso de etiquetas de servicio

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: siga los procedimientos recomendados de la seguridad de DNS con el fin de mitigar los ataques comunes, como el DNS pendiente, los ataques de amplificación de DNS, "poisoning" y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

• Introducción a Azure DNS

• Guía de implementación del sistema de nombres de dominio (DNS) seguro

• Evitar las entradas DNS pendientes y la adquisición de subdominios

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Cosmos DB usa Azure Active Directory (Azure AD) como servicio predeterminado de administración de identidades y acceso. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

• Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
• Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de identidad relativa a los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen una cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos mediante su identidad externa.

Azure Cosmos DB proporciona un control de acceso basado en rol de Azure (Azure RBAC) integrado para escenarios de administración comunes en Azure Cosmos DB. Los usuarios con un perfil en Azure Active Directory pueden asignar estos roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas para conceder o denegar el acceso a recursos y operaciones en los recursos de Azure Cosmos DB. Las asignaciones de roles están dirigidas únicamente al acceso al plano de control, que incluye el acceso a las cuentas, bases de datos, contenedores y ofertas de Azure Cosmos (rendimiento).

Azure Cosmos DB proporciona tres maneras de controlar el acceso a los datos. Las claves principales son secretos compartidos que permiten cualquier operación de administración o de datos. Se incluye en las variantes de lectura y escritura y de solo lectura. El control de acceso basado en roles proporciona un modelo de permisos específico basado en roles mediante identidades de Azure Active Directory (AAD) para la autenticación. Los token de recursos proporcionan un modelo de permisos específico basado en permisos y usuarios nativos de Azure Cosmos DB.

• Inquilinos en Azure Active Directory

• Procedimiento para crear y configurar una instancia de Azure AD

• Uso de proveedores de identidades externos para una aplicación

• Control de acceso basado en rol de Azure en Azure Cosmos DB

• Protección del acceso a los datos de Azure Cosmos DB

Responsabilidad: Compartido

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Cosmos DB admite identidades administradas para sus recursos de Azure. Use identidades administradas con Cosmos DB en lugar de crear entidades de servicio para acceder a otros recursos. Cosmos DB puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD mediante una regla de concesión de acceso predefinida sin usar las credenciales codificadas de forma rígida en el código fuente o los archivos de configuración.

• Identidades administradas de Azure

• Servicios que admiten identidades administradas para recursos de Azure

• Uso de identidades administradas asignadas por el sistema para acceder a datos de Azure Cosmos DB

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Cosmos DB se integra con Azure Active Directory (Azure AD) para proporcionar la administración de identidades y el acceso a sus recursos de Azure. Azure Cosmos DB usa dos tipos de claves para autenticar a los usuarios y no admite el inicio de sesión único (SSO) en el nivel del plano de datos. Sin embargo, el acceso al plano de control de Azure Cosmos DB está disponible mediante la API de REST y admite SSO. Para autenticarse, establezca el encabezado de autorización de las solicitudes en JSON Web Token, que se obtiene de Azure AD.

• Descripción del inicio de sesión único de aplicaciones con Azure AD

Responsabilidad: Compartido

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Cosmos DB no está pensado para almacenar código; sin embargo, para las plantillas de ARM relacionadas con las implementaciones de Cosmos DB, se recomienda implementar el Examen de credenciales en los repositorios que almacenan esas plantillas para identificar las credenciales dentro de las configuraciones. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

• Configuración del escáner de credenciales

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados más críticos de Azure AD son los de administrador global y administrador de roles con privilegios, ya que los usuarios que tengan asignados estos dos roles pueden delegar roles de administrador:

• Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
• Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel alto. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Puede habilitar el acceso con privilegios cuando es necesario (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

• Roles integrados para el control de acceso basado en roles de Azure en Azure Cosmos DB

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Cosmos DB usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y obtener acceso a la asignación con regularidad para asegurarse de que las cuentas y el acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Asimismo, puede configurar Azure AD PIM para enviar una alerta cuando se cree un número excesivo de cuentas de administrador y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Azure Cosmos DB proporciona 5 roles integrados:

• El Colaborador de cuenta de DocumentDB puede administrar cuentas de Azure Cosmos DB.
• El Lector de cuenta de Cosmos DB puede leer los datos de la cuenta de Azure Cosmos DB.
• El Operador de copias de seguridad de Cosmos puede enviar una solicitud de restauración de Azure Portal para una base de datos o un contenedor habilitados para realizar copia de seguridad periódica, y modificar el intervalo de copias de seguridad y la retención en Azure Portal.
• El rol CosmosRestoreOperator puede realizar una acción de restauración en la cuenta de Azure Cosmos DB con el modo de copia de seguridad continua.
• El Operador de Cosmos DB puede aprovisionar cuentas, las bases de datos y los contenedores de Azure Cosmos.

Para más información, consulte las siguientes referencias:

• Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Control de acceso basado en rol de Azure en Azure Cosmos DB

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

• Implementación de estaciones de trabajo de acceso con privilegios

• Implementación de una estación de trabajo con privilegios de acceso

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Cosmos DB se integra con el control de acceso basado en roles de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Azure Cosmos DB proporciona 5 roles integrados para ayudarle a administrar el acceso a la configuración y a los datos. Proporcione a los usuarios el nivel más bajo de acceso necesario para completar su trabajo.

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Control de acceso basado en rol de Azure en Azure Cosmos DB

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Cosmos DB no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: Detección, clasificación y etiquetado de datos confidenciales

Guía: Los datos automáticos de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure Cosmos DB. Sin embargo, puede usar la integración de Azure Cognitive Search para la clasificación y el análisis de datos. También puede implementar una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Indexación de datos de Azure Cosmos DB con Azure Cognitive Search

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Customer

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales mediante la restricción del acceso con el control de acceso basado en roles de Azure (Azure RBAC), los controles de acceso basados en la red y los controles específicos de los servicios de Azure (como el cifrado).

Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial y protege a los clientes contra la pérdida y exposición de los datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.

Cosmos DB también admite claves administradas por el cliente para obtener un nivel adicional de cifrado.

• Control de acceso basado en rol (RBAC) de Azure

• Descripción de la protección de datos de los clientes en Azure

• Configuración de claves administradas por el cliente para una cuenta de Azure Cosmos con Azure Key Vault

Responsabilidad: Compartido

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: Cosmos DB admite la Protección contra amenazas avanzada. Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

• Advanced Threat Protection para Azure Cosmos DB

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques de "fuera de banda" (por ejemplo, captura del tráfico) mediante cifrado para que los atacantes no puedan leer ni modificar los datos fácilmente.

Cosmos DB admite el cifrado de datos en tránsito con TLS v1.2 u otra versión posterior.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Todas las conexiones a Azure Cosmos DB admiten HTTPS. Las cuentas creadas después del 29 de julio de 2020 tienen una versión mínima de TLS 1.2 de forma predeterminada. Puede solicitar que la versión mínima de TLS de las cuentas creadas antes del 29 de julio de 2020 se actualice a TLS 1.2. Para ello, póngase en contacto con azurecosmosdbtls@service.microsoft.com.

• Descripción del cifrado en tránsito con Azure

• Información sobre la seguridad de TLS

• Cifrado doble para datos de Azure en tránsito

• Cumplimiento de TLS 1.2 en Azure Cosmos DB

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Cosmos DB cifra los datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Los datos almacenados en su cuenta de Azure Cosmos se cifran de forma automática y sin problemas con claves administradas por Microsoft (claves administradas por el servicio). También puede optar por agregar una segunda capa de cifrado con las claves administradas (claves administradas por el cliente).

• Descripción del cifrado en reposo en Azure

• Cifrado doble de datos en reposo en Azure

• Configuración de las claves de cifrado administradas por el cliente

• Tabla de modelo de cifrado y administración de claves

• Configuración de claves administradas por el cliente para una cuenta de Azure Cosmos con Azure Key Vault

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo	Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk.	audit, deny, disabled	1.0.2

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

• Introducción al rol de lector de seguridad

• Información general sobre los grupos de administración de Azure

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: aplique etiquetas a las instancias de Azure Cosmos DB y los recursos relacionados con metadatos pertinentes, como el seguimiento de instancias de Azure Cosmos DB que almacenan o procesan información confidencial. Cosmos DB no permite ejecutar una aplicación ni instalar software en sus recursos.

• Creación y uso de etiquetas

• Qué recursos de Azure Cosmos DB admiten etiquetas

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Cosmos DB admite la opción para denegar las implementaciones de recursos con Azure Policy, lo que le permite restringir las implementaciones en las que este servicio aún no está aprobado. Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno según sus necesidades de seguridad. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

• Creación de consultas con Azure Resource Graph Explorer

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: use la funcionalidad integrada de detección de amenazas de Microsoft Defender for Cloud y habilite Microsoft Defender para los recursos de Cosmos DB. Microsoft Defender para Cosmos DB proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a los recursos de Cosmos DB.

Reenvíe los registros de Cosmos DB a su SIEM, ya que puede usarse para configurar detecciones de amenazas personalizadas. Asegúrese de que supervisa distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Protección contra amenazas en Microsoft Defender for Cloud

• Guía de referencia de alertas de seguridad de Microsoft Defender for Cloud

• Creación de reglas de análisis personalizadas para detectar amenazas

• Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel

• Advanced Threat Protection para Azure Cosmos DB

• Supervisión de Azure Cosmos DB

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión/SIEM para casos de uso de supervisión y análisis más sofisticados:

• Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
• Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
• Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
• Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta capacidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

• Informes de actividad de auditoría en Azure Active Directory

• Habilitación de Azure Identity Protection

• Protección contra amenazas en Microsoft Defender for Cloud

• Supervisión de Azure Cosmos DB

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Cosmos DB no implementa ningún recurso directamente en redes virtuales. Sin embargo, Cosmos DB permite usar puntos de conexión privados para conectarse de forma segura a sus recursos desde una red virtual. Cosmos DB tampoco genera ni procesa registros de consulta de DNS que deban habilitarse.

Habilite el registro en los puntos de conexión privados configurados de Cosmos DB para capturar:

• datos procesados por el punto de conexión privado (ENTRADA/SALIDA)

• datos procesados por el servicio Private Link (ENTRADA/SALIDA)

• Disponibilidad del puerto NAT

• Para obtener más información, consulte las siguientes referencias: Supervisión de Azure Private Link

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Cosmos DB, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Cosmos DB. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y la realización de ejercicios forenses.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Descripción del registro y de los distintos tipos de registro de Azure

• Descripción de la recopilación de datos de Microsoft Defender for Cloud

• Alertas de seguridad para Cosmos DB

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: centralice el registro, el almacenamiento y el análisis de los registros de Cosmos DB. Asegúrese de que va a integrar los registros de actividad de Azure que hayan generado las acciones de administración de Cosmos DB en la solución de registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Asimismo, habilite e incorpore los datos a Azure Sentinel o a un SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso que se usan frecuentemente y Azure Storage para los datos inactivos que se usan con menos frecuencia.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Cómo incorporar Microsoft Sentinel

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros creados por los recursos de Cosmos DB tengan el período de retención de registros configurado de acuerdo a la normativa de cumplimiento de la organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

• Configuración del período de retención del área de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: puede usar Azure Blueprints para automatizar la implementación y configuración del servicio de Cosmos DB, incluidas las plantillas de Azure Resource Manager, los controles de Azure RBAC y las directivas, en una única definición de plano técnico.

Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

• Trabajar con directivas de seguridad en Microsoft Defender for Cloud

• Ilustración de la implementación de límites de protección en la zona de aterrizaje de escala empresarial

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Azure Blueprints

• Advanced Threat Protection para Azure Cosmos DB

• Alertas de Microsoft Defender for Cloud para Cosmos DB

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para supervisar la línea base de configuración y aplicar estas configuraciones mediante los efectos de Azure Policy [denegar] e [implementar si no existe] para mantener una configuración segura en todos los recursos de Cosmos DB.

Use los alias de Azure Policy en el espacio de nombres "Microsoft.DocumentDB" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

• Descripción de los efectos de Azure Policy

• Creación y administración de directivas para aplicar el cumplimiento

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

• Pruebas de penetración en Azure

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. El soporte técnico de Azure está disponible solo para algunos planes, por ejemplo, Estándar o Desarrollador, y planes superiores. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de Cosmos DB, asegúrese de realizar copias de seguridad automatizadas de las claves.

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

• Copia de seguridad de las claves de Key Vault

Responsabilidad: Compartido

BR-2: Cifrado de los datos de copia de seguridad

Guía: Todos los datos almacenados en Azure Cosmos DB se cifran en reposo. No hay ningún control para activarlo o desactivarlo. Azure Cosmos DB usa el cifrado de AES-256 en todas las regiones donde se ejecuta la cuenta.

de manera predeterminada, Microsoft administra las claves que se usan para cifrar los datos de la cuenta de Azure Cosmos. también puede optar por agregar una segunda capa de cifrado con sus propias claves.

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

• Cifrado de datos de Azure Cosmos DB

Responsabilidad: Microsoft

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de Cosmos DB que están cifradas con claves administradas por el cliente, asegúrese de realizar copias de seguridad automatizadas periódicas de las claves.

• Restauración de las claves de Key Vault en Azure

• Creación de una copia de seguridad de las claves del almacén de claves en Azure

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves de clave de cifrado frente a una eliminación accidental o malintencionada.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.