Línea de base de seguridad de Azure para Azure Cosmos DB

Esta línea base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Cosmos DB. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Cosmos DB.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía:al implementar recursos Cosmos base de datos, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se alinea con los riesgos empresariales. Cualquier sistema que pueda incurrir en un mayor riesgo para la organización debe aislarse dentro de su propia red virtual y protegerse lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.

Use Microsoft Defender para la protección de red adaptable en la nube para recomendar configuraciones de grupo de seguridad de red que limiten los puertos y las IP de origen en función de la referencia a las reglas de tráfico de red externa.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en función de las reglas del grupo de seguridad de red. Para aplicaciones específicas y bien definidas (por ejemplo, una aplicación de tres niveles), puede ser una denegación altamente segura de forma predeterminada.

• Creación de un grupo de seguridad de red con reglas de seguridad

• Implementación y configuración de Azure Firewall

• Configuración de Azure Private Link para una cuenta de Azure Cosmos

• Configuración del firewall de IP en Azure Cosmos DB

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

• Qué son los modelos de conectividad de ExpressRoute

• Información general sobre la red privada virtual de Azure

• Interconexión de red virtual

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía:use Azure Private Link para habilitar el acceso privado a Cosmos DB desde las redes virtuales sin atravesar Internet.

El acceso privado es una defensa adicional en profundidad de la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.

• ¿Qué es Azure Private Link?

• Configuración de Azure Private Link para una cuenta de Azure Cosmos

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:proteja los recursos de base de datos de Cosmos frente a ataques de redes externas, incluidos ataques de denegación de servicio distribuido (DDoS), ataques específicos de la aplicación y tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Cosmos DB no está diseñada para ejecutar aplicaciones web y no requiere que configure ninguna configuración adicional ni implemente ningún servicio de red adicional para protegerla frente a ataques de red externos dirigidos a aplicaciones web.

• Documentación sobre Azure Firewall

• Administración de Azure DDoS Protection estándar mediante Azure Portal

• Recomendaciones de Microsoft Defender para la nube

• Inicio rápido: Creación y configuración de Azure DDoS Protection Estándar

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

NS-6: simplificación de las reglas de seguridad de red

Guía:Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall configurados para los recursos de Cosmos DB. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

La etiqueta de servicio AzureCosmosDB es compatible con el uso saliente y puede ser regional y se puede usar con Azure Firewall.

• Descripción y uso de etiquetas de servicio

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-7: servicio de nombres de dominio (DNS) seguro

Guía:siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como DNS desenlazándose, ataques de amplificaciones de DNS, ataques de dns, ataques de suplantación y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

• Introducción a Azure DNS

• Guía de implementación del sistema de nombres de dominio (DNS) seguro

• Evitar las entradas DNS pendientes y la adquisición de subdominios

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:Cosmos db usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe estandarizar los Azure AD para regular la administración de identidades y acceso de su organización en:

• Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
• Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a evaluar la posición de seguridad de la identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD identidades externas que permiten a los usuarios sin una cuenta Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Azure Cosmos DB proporciona un control de acceso basado en rol de Azure (Azure RBAC) integrado para escenarios de administración comunes en Azure Cosmos DB. Los usuarios con un perfil en Azure Active Directory pueden asignar estos roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas para conceder o denegar el acceso a recursos y operaciones en los recursos de Azure Cosmos DB. Las asignaciones de roles están dirigidas únicamente al acceso al plano de control, que incluye el acceso a las cuentas, bases de datos, contenedores y ofertas de Azure Cosmos (rendimiento).

Azure Cosmos DB proporciona tres maneras de controlar el acceso a los datos. Las claves principales son secretos compartidos que permiten cualquier operación de administración o de datos. Se incluyen en variantes de lectura y escritura y de solo lectura. El control de acceso basado en rol proporciona un modelo de permisos específico basado en roles que usa identidades de Azure Active Directory (AAD) para la autenticación. Los tokens de recursos proporcionan un modelo de permisos específico basado en usuarios y permisos nativos de Azure Cosmos DB.

• Inquilinos en Azure Active Directory

• Procedimiento para crear y configurar una instancia de Azure AD

• Uso de proveedores de identidades externos para una aplicación

• Control de acceso basado en rol de Azure en Azure Cosmos DB

• Protección del acceso a los datos de Azure Cosmos DB

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:Cosmos DB admite identidades administradas para sus recursos de Azure. Use identidades administradas con Cosmos db en lugar de crear entidades de servicio para acceder a otros recursos. Cosmos DB puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD a través de una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma automática en archivos de configuración o código fuente.

• Identidades administradas de Azure

• Servicios que admiten identidades administradas para recursos de Azure

• Uso de identidades administradas asignadas por el sistema para acceder a datos de Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía:Cosmos DB se integra con Azure Active Directory (Azure AD) para proporcionar administración de identidades y acceso a sus recursos de Azure. Azure Cosmos DB usa dos tipos de claves para autorizar a los usuarios y no admite single Sign-On (SSO) en el nivel de plano de datos. Sin embargo, el acceso al plano de control para Cosmos DB está disponible a través de la API REST y admite sso. Para autenticarse, establezca el encabezado de autorización de las solicitudes en un JSON Web Token que obtenga de Azure AD.

• Descripción del inicio de sesión único de aplicaciones con Azure AD

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Guía:Cosmos DB no está pensado para almacenar código; sin embargo, para las plantillas de ARM relacionadas con las implementaciones de base de datos de Cosmos, se recomienda implementar Credential Scanner en los repositorios que almacenan esas plantillas para identificar las credenciales dentro de las configuraciones. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

• Configuración del escáner de credenciales

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Los roles integrados más críticos para Azure AD son el administrador global y el administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador:

• Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
• Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Es posible que tenga otros roles críticos que deban regularse si usa roles personalizados con determinados permisos con privilegios asignados. También puede aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar directa o indirectamente todos los recursos del entorno de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

• Roles integrados para el control de acceso basado en rol de Azure en Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:Cosmos DB usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y las asignaciones de acceso periódicamente para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones Azure AD acceso para revisar las pertenencias a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Además, Azure AD PIM también se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador e identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Azure Cosmos DB proporciona 5 roles integrados:

• El colaborador de la cuenta de DocumentDB puede administrar cuentas de Azure Cosmos DB.
• El lector Cosmos cuenta de base de datos puede leer los datos de la cuenta de Azure Cosmos DB.
• El operador Cosmos Backup puede enviar una solicitud de restauración para Azure Portal para una base de datos habilitada para copia de seguridad periódica o un contenedor y modificar el intervalo de copia de seguridad y la retención en el Azure Portal.
• CosmosRestoreOperator puede realizar una acción de restauración para la cuenta de Azure Cosmos DB con el modo de copia de seguridad continua.
• El operador Cosmos DB puede aprovisionar cuentas de Azure Cosmos, bases de datos y contenedores.

Para más información, consulte las siguientes referencias:

• Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Control de acceso basado en rol de Azure en Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía:Las estaciones de trabajo aisladas y protegidas son fundamentalmente importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar la configuración segura, incluida la autenticación segura, las líneas base de software y hardware, y el acceso lógico y de red restringido.

• Implementación de estaciones de trabajo de acceso con privilegios

• Implementación de una estación de trabajo con privilegios de acceso

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía:Cosmos DB se integra con el control de acceso basado en rol de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Azure Cosmos DB proporciona 5 roles integrados para ayudar a administrar el acceso a la configuración y los datos. Proporcionar a los usuarios el nivel más bajo de acceso necesario para completar su trabajo.

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Control de acceso basado en rol de Azure en Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:Cosmos DB no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes a través de métodos que no son de caja de seguridad para aprobar el acceso a los datos de los clientes.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: Detección, clasificación y etiquetado de datos confidenciales

Guía: Los datos automáticos de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure Cosmos DB. Sin embargo, puede usar la integración de Azure Cognitive Search para la clasificación y el análisis de datos. También puede implementar una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Indexación de datos de Azure Cosmos DB con Azure Cognitive Search

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-2: Protección de datos confidenciales

Guía:Proteja los datos confidenciales mediante la restricción del acceso mediante el control de acceso basado en rol de Azure (RBAC de Azure), controles de acceso basados en red y controles específicos en los servicios de Azure (como el cifrado).

Para garantizar un control de acceso coherente, todos los tipos de control de acceso deben estar alineados con la estrategia de segmentación empresarial. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido del cliente como confidencial y protege contra la pérdida y exposición de los datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.

Cosmos DB también admite claves administradas por el cliente para un nivel adicional de cifrado.

• Control de acceso basado en rol (RBAC) de Azure

• Descripción de la protección de datos de los clientes en Azure

• Configuración de claves administradas por el cliente para una cuenta de Azure Cosmos con Azure Key Vault

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía:Cosmos DB admite Advanced Threat Protection. Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

• Advanced Threat Protection para Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-4: Cifrado de la información confidencial en tránsito

Guía:Para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques "fuera de banda" (como la captura de tráfico) mediante el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Cosmos DB admite el cifrado de datos en tránsito con TLS v1.2 o superior.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar SSL, TLS, versiones y protocolos SSH obsoletos y cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Todas las conexiones a Azure Cosmos DB admiten HTTPS. Las cuentas creadas después del 29 de julio de 2020 tienen una versión mínima de TLS 1.2 de forma predeterminada. Puede solicitar que la versión mínima de TLS de las cuentas creadas antes del 29 de julio de 2020 se actualice a TLS 1.2. Para ello, póngase en contacto con azurecosmosdbtls@service.microsoft.com .

• Descripción del cifrado en tránsito con Azure

• Información sobre la seguridad de TLS

• Cifrado doble para datos de Azure en tránsito

• Cumplimiento de TLS 1.2 en Azure Cosmos DB

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-5: Cifrado de datos confidenciales en reposo

Guía:Para complementar los controles de acceso, Cosmos DB cifra los datos en reposo para protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Los datos almacenados en su cuenta de Azure Cosmos se cifran de forma automática y sin problemas con claves administradas por Microsoft (claves administradas por el servicio). También puede optar por agregar una segunda capa de cifrado con las claves administradas (claves administradas por el cliente).

• Descripción del cifrado en reposo en Azure

• Cifrado doble de datos en reposo en Azure

• Configuración de las claves de cifrado administradas por el cliente

• Tabla de modelo de cifrado y administración de claves

• Configuración de claves administradas por el cliente para una cuenta de Azure Cosmos con Azure Key Vault

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DocumentDB:

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía:Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

• Introducción al rol de lector de seguridad

• Información general sobre los grupos de administración de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía:aplique etiquetas a las instancias de Azure Cosmos DB y recursos relacionados con metadatos pertinentes, como el seguimiento de instancias de azure Cosmos DB que almacenan o procesan información confidencial. Cosmos DB no permite ejecutar una aplicación ni instalar software en sus recursos.

• Creación y uso de etiquetas

• Qué recursos de Azure Cosmos DB admiten etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía:Cosmos DB admite la denegación de sus implementaciones de recursos con Azure Policy, lo que le permite restringir las implementaciones en las que este servicio aún no está aprobado. Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno según sus necesidades de seguridad. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

• Creación de consultas con Azure Resource Graph Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:Use la funcionalidad de detección de amenazas integrada de Microsoft Defender para la nube y habilite Microsoft Defender para los Cosmos base de datos. Microsoft Defender para Cosmos DB proporciona una capa adicional de inteligencia de seguridad que detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos de Cosmos DB o aprovecharlos.

Reenvía los registros Cosmos db a SIEM, que se pueden usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Protección contra amenazas en Microsoft Defender para la nube

• Guía de referencia de alertas de seguridad de Microsoft Defender para la nube

• Creación de reglas de análisis personalizadas para detectar amenazas

• Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel

• Advanced Threat Protection para Azure Cosmos DB

• Supervisión de Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía:Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario, que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas siem/monitoring para casos de uso de supervisión y análisis más sofisticados:

• Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
• Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
• Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
• Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender para la nube también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube también puede recopilar alertas de seguridad más detalladas de recursos de proceso individuales de Azure (máquinas virtuales, contenedores, app service), recursos de datos (base de datos y almacenamiento de SQL) y capas de servicio de Azure. Esta funcionalidad permite tener visibilidad sobre las anomalías de la cuenta dentro de recursos individuales.

• Informes de actividad de auditoría en Azure Active Directory

• Habilitación de Azure Identity Protection

• Protección contra amenazas en Microsoft Defender para la nube

• Supervisión de Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-3: Habilitación del registro para las actividades de red de Azure

Guía:Cosmos DB no implementa ningún recurso directamente en una red virtual. Sin embargo, Cosmos db permite usar puntos de conexión privados para conectarse de forma segura a sus recursos desde una red virtual. Cosmos db tampoco genera ni procesa registros de consulta DNS que deba habilitarse.

Habilite el registro en los puntos de conexión privados Cosmos db configurados para capturar:

• Datos procesados por el punto de conexión privado (IN/OUT)

• datos procesados por el servicio Private Link (ENTRADA/SALIDA)

• Disponibilidad del puerto NAT

• Para obtener más información, vea las siguientes referencias: Azure Private Link Supervisión

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) para los recursos de base de datos de Cosmos, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Cosmos DB. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Descripción del registro y de los distintos tipos de registro de Azure

• Información sobre la recopilación de datos de Microsoft Defender para la nube

• Alertas de seguridad para Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía:Centralice el registro, el almacenamiento y el análisis de los Cosmos de base de datos. Asegúrese de que está integrando los registros de actividad de Azure generados por Cosmos de administración de base de datos en la solución de registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Además, habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros.

Muchas organizaciones deciden usar Microsoft Sentinel para los datos "frecuentes" que se usan con frecuencia y Azure Storage para los datos "fríos" que se usan con menos frecuencia.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-6: Configuración de la retención del almacenamiento de registros

Guía:Asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros creados por los recursos de base de datos de Cosmos tienen el período de retención de registros establecido según las regulaciones de cumplimiento de su organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

• Configuración del período de retención del área de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:puede usar Azure Blueprints para automatizar la implementación y configuración del servicio de base de datos de Cosmos, incluidas las plantillas de Azure Resources Manager, los controles rbAC de Azure y las directivas, en una única definición de plano técnico.

Advanced Threat Protection para Azure Cosmos DB proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

• Trabajar con directivas de seguridad en Microsoft Defender para la nube

• Ilustración de la implementación de límites de protección en la zona de aterrizaje de escala empresarial

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Azure Blueprints

• Advanced Threat Protection para Azure Cosmos DB

• Microsoft Defender para alertas en la nube para Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía:Use Microsoft Defender para la nube para supervisar la línea de base de configuración y aplicar estas configuraciones mediante los efectos Azure Policy [deny] e [deploy if not exist] para mantener una configuración segura en los recursos de Cosmos DB.

Use Azure Policy alias en el espacio de nombres "Microsoft.DocumentDB" para crear directivas personalizadas para alertar, auditar y aplicar configuraciones del sistema. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

• Descripción de los efectos de Azure Policy

• Creación y administración de directivas para aplicar el cumplimiento

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

• Pruebas de penetración en Azure

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. El soporte técnico de Azure está disponible solo para algunos planes, por ejemplo, Estándar o Desarrollador, y planes superiores. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de Cosmos DB, asegúrese de realizar copias de seguridad automatizadas de las claves.

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

• Copia de seguridad de Key Vault claves

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

BR-2: Cifrado de los datos de copia de seguridad

Guía: Todos los datos almacenados en Azure Cosmos DB se cifran en reposo. No hay ningún control para activarlo o desactivarlo. Azure Cosmos DB usa el cifrado de AES-256 en todas las regiones donde se ejecuta la cuenta.

de manera predeterminada, Microsoft administra las claves que se usan para cifrar los datos de la cuenta de Azure Cosmos. también puede optar por agregar una segunda capa de cifrado con sus propias claves.

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

• Cifrado de datos de Azure Cosmos DB

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Azure Cosmos DB crea automáticamente copias de seguridad de los datos a intervalos regulares. En caso de que elimine accidentalmente la base de datos o un contenedor, puede presentar una incidencia de soporte técnico o llamar al servicio de soporte técnico de Azure para restaurar los datos a partir de copias de seguridad en línea automáticas. Para restaurar una instantánea específica de la copia de seguridad, Azure Cosmos DB requiere que los datos estén disponibles durante el ciclo de copia de seguridad de esa instantánea.

Si usa Key Vault para almacenar las credenciales de las instancias de base de datos de Cosmos cifradas con claves administradas por el cliente, asegúrese de realizar copias de seguridad automatizadas periódicas de las claves.

• Restauración de las claves de Key Vault en Azure

• Creación de una copia de seguridad de las claves del almacén de claves en Azure

• Copias de seguridad en línea y restauración de datos a petición en Azure Cosmos DB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía:Asegúrese de que tiene medidas para evitar y recuperarse de la pérdida de claves. Habilite la eliminación automática y la protección de purgas Azure Key Vault proteger las claves de cifrado frente a eliminaciones accidentales o malintencionadas.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.