Línea de referencia de seguridad de Azure para Azure Data Factory

Esta línea base de seguridad aplica las instrucciones descritas en Azure Security Benchmark, versión 2.0, a Azure Data Factory. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de controles de seguridad que se definen en Azure Security Benchmark y en las directrices relacionadas aplicables a Azure Data Factory.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Data Factory y aquellos para los que se recomienda la guía global al pie de la letra. Para ver la asignación completa de Azure Data Factory a Azure Security Benchmark, consulte el archivo de la asignación completa de la línea base de seguridad de Azure Data Factory.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Cuando implemente recursos de Data Factory, use una red virtual que ya exista o cree una nueva. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se adapte a los riesgos empresariales. Aísle todo sistema que pueda suponer un riesgo mayor para la organización dentro de su propia red virtual. Proteja el sistema lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.

Use la protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de grupos de seguridad de red. Las configuraciones deben limitar los puertos y las direcciones IP de origen en función de reglas de tráfico de redes externas.

Azure-SSIS Integration Runtime admite la inserción de redes virtuales en la red virtual del cliente. Se rige por todas las reglas de firewall y NSG establecidas por el cliente en su red virtual. Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permitirá a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o que Azure Data Factory cree una. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso.

El entorno de ejecución de integración (IR) autohospedado se puede configurar en una máquina virtual IaaS dentro de la red virtual del cliente. El tráfico de red también se rige por la configuración de NSG y firewall del cliente.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, puede ser una regla muy segura que deniegue el acceso de forma predeterminada.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Use Azure Private Link para habilitar el acceso privado a Data Factory desde redes virtuales sin usar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.

Puede configurar puntos de conexión privados en una red virtual administrada de Azure Data Factory para conectarse a almacenes de datos de forma privada.

Data Factory no permite configurar puntos de conexión de servicio de red virtual.

Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permite a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o que Azure Data Factory cree una. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso. Puede implementar IR autohospedados en una máquina del entorno local o en una máquina virtual de Azure dentro de una red virtual. Asegúrese de que la implementación de la subred de la red virtual tenga un grupo de seguridad de red configurado para permitir únicamente el acceso de los administradores. Como medida de protección, Azure-SSIS IR no permite la salida por el puerto 3389 de forma predeterminada en la regla de Firewall de Windows de cada nodo de IR. Puede proteger los recursos configurados por la red virtual mediante la asociación de un NSG con la subred y el establecimiento de reglas estrictas.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Proteja los recursos de Data Factory frente a ataques de redes externas, incluidos los siguientes:

  • Ataques de denegación de servicio distribuidos (DDoS).

  • Ataques específicos de la aplicación.

  • Tráfico de Internet no solicitado y potencialmente malintencionado.

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos por una configuración incorrecta en los recursos relacionados con la red.

Data Factory no está pensado para ejecutar aplicaciones web. No es necesario que configure otras opciones ni que implemente ningún servicio de red adicional para protegerlo de ataques de redes externas dirigidos a aplicaciones web.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de Data Factory en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique el nombre de una etiqueta de servicio en el campo de origen o destino de la regla correspondiente para permitir o denegar el tráfico para el servicio. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente la etiqueta a medida que las direcciones cambian.

El intervalo IP de Azure Integration Runtime aparece en Etiquetas de servicio. Se aplica al movimiento (copia) de datos, a las actividades externas y de canalización, pero no a las ejecuciones de flujos de datos.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como los siguientes:

  • DNS pendientes.

  • Ataques de amplificación de DNS.

  • Ataques de tipo "poisoning" y suplantación de identidad de DNS.

Cuando use Azure DNS como servicio DNS, asegúrese de proteger las zonas y los registros DNS frente a cambios accidentales o malintencionados con el control de acceso basado en rol (RBAC) de Azure y el bloqueo de recursos.

Cuando se usa una red virtual administrada en Data Factory, la conectividad a través de los puntos de conexión privados requiere actualizaciones de DNS. Microsoft se encarga de administrar esto. Los clientes pueden especificar las entradas DNS al crear los puntos de conexión privados en la red virtual administrada en Data Factory.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Data Factory usa Azure AD como servicio de administración de la identidad y el acceso predeterminado. Estandarice Azure AD para controlar la administración de la identidad y el acceso de su organización en:

  • Recursos de Microsoft Cloud. Los recursos incluyen:

    • El Portal de Azure

    • Azure Storage

    • Máquinas virtuales Linux y Windows de Azure

    • Azure Key Vault

    • Plataforma como servicio (PaaS)

    • Aplicaciones de software como servicio (SaaS)

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen un cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.

La pertenencia al rol Colaborador de Data Factory permite a los usuarios hacer lo siguiente:

  • Crear, editar y eliminar factorías de datos y recursos secundarios, como los siguientes:

    • Conjuntos de datos

    • Servicios vinculados

    • Pipelines

    • Desencadenadores

    • Entornos de ejecución de integración

  • Implementar plantillas de Resource Manager. El método de implementación que utiliza Data Factory en Azure Portal es la implementación de Resource Manager.

  • Administrar las alertas de App Insights para una factoría de datos.

  • Crear incidencias de soporte técnico.

Si ejecuta un entorno de ejecución de integración (IR) autohospedado en una máquina virtual de Azure, puede usar identidades administradas para autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Key Vault, sin necesidad de tener credenciales en el código. El código que se ejecuta en una máquina virtual puede usar una identidad administrada para solicitar tokens de acceso para los servicios que admiten la autenticación de Azure AD.

Data Factory permite usar identidades administradas y entidades de servicio para autenticarse en almacenes de datos y recursos de proceso que admiten la autenticación de AAD.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Data Factory admite identidades administradas para sus recursos de Azure. Use identidades administradas con Data Factory en lugar de crear entidades de servicio para acceder a otros recursos. Data Factory puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se admite mediante una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma rígida en el código fuente ni en los archivos de configuración.

Data Factory recomienda el uso de Azure AD para crear una entidad de servicio con permisos restringidos a nivel de recurso para configurar entidades de servicio con credenciales de certificado y recurrir a secretos de cliente. En ambos casos, Azure Key Vault se puede usar con identidades administradas de Azure, de modo que el entorno en tiempo de ejecución (por ejemplo, una función de Azure) pueda recuperar la credencial del almacén de claves.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Data Factory usa Azure AD para proporcionar administración de identidad y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Las identidades pueden ser identidades de empresa, como los empleados, e identidades externas, como los asociados y proveedores.

Azure AD proporciona inicio de sesión único (SSO) para administrar y proteger el acceso a los recursos y los datos de su organización en el entorno local y en la nube.

Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD. Azure AD ofrece un acceso fluido y seguro, así como una mayor visibilidad y más control.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Data Factory permite a los clientes implementar y ejecutar código o configuraciones, así como conservar datos que puedan contener identidades o secretos. Use Credential Scanner para detectar estas credenciales en el código, las configuraciones o los datos. Credential Scanner recomienda mover las credenciales detectadas a ubicaciones seguras, como Azure Key Vault.

En GitHub, puede usar la herramienta nativa de detección de secretos para identificar credenciales u otro tipo de secretos en el código.

Si usa la herramienta de creación visual basada en la interfaz de usuario de Data Factory, hay dos opciones: que el servicio cifre directamente todas las credenciales y los secretos almacenados en los servicios vinculados o que el entorno de ejecución haga referencia a ellos usando un almacén de claves. Por tanto, no se mostrará ninguna credencial como tal en el código de JSON. Estas credenciales no se pueden recuperar nunca mediante código ni en la interfaz de usuario visual.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios con estos dos roles pueden delegar roles de administrador.

  • Los roles Administrador global y Administrador de empresa tienen acceso a todas las características de administración de Azure AD y a los servicios que usan identidades de Azure AD.

  • El Administrador de roles con privilegios puede administrar las asignaciones de roles en Azure AD y Azure AD Privileged Identity Management (PIM). Este rol puede administrar todos los aspectos de PIM y las unidades administrativas.

Nota: Si usa roles personalizados que tienen determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban controlarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel alto. Los usuarios con privilegios elevados pueden leer y modificar directa o indirectamente todos los recursos de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en su organización de Azure AD.

Colaborador de Data Factory es un rol integrado de Azure AD que proporciona acceso completo a una instancia de Data Factory. Si desea proporcionar permisos con menos privilegios o restringir el acceso a ciertas características de Data Factory, puede crear un "rol personalizado".

Si ejecuta el entorno de ejecución de integración autohospedado en una máquina virtual de Azure, también puede incorporar la máquina virtual a Microsoft Sentinel. Microsoft Sentinel es una solución SIEM y SOAR escalable y nativa de nube. Use Microsoft Sentinel para proporcionar análisis de seguridad inteligentes e inteligencia sobre amenazas a toda la empresa. Proporciona una única solución para la detección de alertas, la visibilidad de las amenazas, la búsqueda proactiva y la respuesta a las amenazas.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Data Factory usa cuentas de Azure AD para administrar sus recursos. Revise periódicamente las cuentas de usuario y las asignaciones de acceso para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones de acceso de Azure AD para revisar la pertenencia a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles.

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede crear flujos de trabajo de informes de revisión del acceso en Azure AD PIM para facilitar el proceso de revisión.

Si ejecuta el IR autohospedado en una máquina virtual de Azure, deberá revisar los usuarios y los grupos de seguridad locales. Asegúrese de que no haya cuentas inesperadas que puedan poner en peligro el sistema.

Puede configurar Azure AD PIM para que le alerte cuando haya demasiadas cuentas de administrador. PIM puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Roles y permisos para Azure Data Factory /azure/data-factory/concepts-roles-permissions

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son críticas para la seguridad de los roles con acceso a información confidencial, como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad y Azure Bastion para las tareas administrativas.

Use Azure AD, ATP de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar de manera centralizada estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

  • Autenticación sólida

  • Líneas base de software y hardware

  • Acceso lógico y de red restringido

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Data Factory se integra con RBAC de Azure para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante la asignación de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal.

Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Puede crear un rol personalizado en Azure AD con un acceso más restrictivo a Data Factory.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: Proteja los datos confidenciales mediante la restricción del acceso con RBAC de Azure, controles de acceso basados en la red y controles específicos de los servicios de Azure. Por ejemplo, use cifrado en SQL y otras bases de datos.

Para mantener la coherencia, alinee todos los tipos de control de acceso con la estrategia de segmentación empresarial. Conforme la estrategia de segmentación de su empresa con la ubicación de sistemas y datos confidenciales o críticos para la empresa.

Microsoft trata como confidencial todo el contenido del cliente de la plataforma subyacente administrada por Microsoft. Microsoft protege contra la pérdida y exposición de datos de los clientes. Microsoft tiene controles y características de protección de datos predeterminados para garantizar que los datos de los clientes de Azure permanezcan seguros.

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques fuera de banda, como la captura de tráfico. Use cifrado para asegurarse de que los atacantes no puedan leer ni modificar los datos fácilmente.

Data Factory admite el cifrado de datos en tránsito con Seguridad de la capa de transporte (TLS) v1.2.

Este requisito es opcional para el tráfico en redes privadas, pero es crítico para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure puedan usar TLS v1.2 o una versión posterior.

Para la administración remota, use Secure Shell (SSH) para Linux o el Protocolo de escritorio remoto (RDP) y TLS para Windows. No use un protocolo sin cifrar. Deshabilite los cifrados débiles y las versiones y los protocolos SSL, TLS y SSH obsoletos.

Azure cifra los datos en tránsito entre centros de datos de Azure de manera predeterminada.

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: Para complementar los controles de acceso, Data Factory protege los datos en reposo frente a ataques fuera de banda, como el acceso al almacenamiento subyacente, mediante cifrado. El cifrado ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos altamente confidenciales, puede cifrarlos también en reposo en los recursos de Azure donde esté disponible esta funcionalidad. Azure administra las claves de cifrado de manera predeterminada, pero algunos servicios de Azure proporcionan opciones para usar claves administradas por el cliente.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de conceder permisos de Lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad con Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino entero, o conceder permisos a suscripciones o grupos de administración específicos.

Nota: La visibilidad de las cargas de trabajo y los servicios puede requerir más permisos.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos en Azure que se actualice continuamente, como Data Factory. Los equipos de seguridad suelen necesitar este inventario para evaluar la posible exposición de su organización a riesgos emergentes, y para usarlo como entrada para mejorar continuamente la seguridad. Cree un grupo de Azure AD para que contenga el equipo de seguridad autorizado de su organización y asígnele acceso de lectura a todos los recursos de Azure Data Factory. Esto se puede simplificar con una única asignación general de roles en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software de las máquinas virtuales. El nombre, la versión, el editor y la hora de actualización del software están disponibles en Azure Portal. Para acceder a las fechas de instalación y otra información, habilite los diagnósticos de nivel de invitado e importe los registros de eventos de Windows en un área de trabajo de Log Analytics.

Data Factory no permite ejecutar aplicaciones ni instalar software en sus recursos. Describa cualquier otra característica de la oferta que permita o incluya esta funcionalidad, según corresponda.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos en las suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: Si ejecuta el IR autohospedado en una máquina virtual de Azure, Azure Automation proporciona un control completo durante:

  • Implementación

  • Operations

  • Retirada de cargas de trabajo y recursos

Use Change Tracking para identificar todo el software instalado en las máquinas virtuales. Puede implementar su propio proceso o usar State Configuration de Azure Automation para quitar software no autorizado.

Nota: El uso de aplicaciones aprobadas solo procede si el IR autohospedado se ejecuta en una máquina virtual de Azure.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Use la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. Habilite Microsoft Defender para sus recursos de Data Factory. Microsoft Defender para Data Factory proporciona una capa adicional de inteligencia de seguridad. Microsoft Defender detecta intentos inusuales de acceder a los recursos de Azure Data Factory o de aprovecharlos con fines potencialmente malintencionados.

Reenvíe los registros de Data Factory a su sistema SIEM. Use los registros para configurar una detección de amenazas personalizada. Asegúrese de supervisar distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. También puede integrar los registros en Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión y SIEM para casos de uso de supervisión y análisis más sofisticados.

  • Inicios de sesión: información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuarios.

  • Registros de auditoría: rastreabilidad a través de registros de todos los cambios realizados por características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de intentos de inicio de sesión de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados en riesgo: indicador de que una cuenta de usuario puede haber estado en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación erróneos. Las cuentas en desuso en una suscripción también pueden desencadenar alertas.

Además de la supervisión básica para la protección de la seguridad, el módulo de protección contra amenazas de Microsoft Defender for Cloud puede recopilar alertas de seguridad más detalladas de:

  • Recursos de proceso concretos de Azure, como máquinas virtuales, contenedores y App Service.

  • Recursos de datos, como Azure SQL Database y Azure Storage.

  • Capas de servicio de Azure.

Esta capacidad permite detectar anomalías en las cuentas en recursos concretos.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Habilite y recopile estos registros para el análisis de seguridad:

  • Registros de recursos de NSG

  • Registros de flujos del grupo de seguridad de red

  • Registros de Azure Firewall

  • Registros de Web Application Firewall (WAF)

Los registros posibilitan la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para proporcionar información.

Data Factory no genera ni procesa registros de consultas de DNS.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, de los recursos de Azure Machine Learning. Puede usar registros de actividad para buscar errores durante la solución de problemas o para supervisar cómo han modificado los recursos los usuarios de su organización.

Habilite los registros de recursos de Azure para Data Factory. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Instrucciones: Ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por Azure Data Factory. En Azure Monitor, puede consultar el área de trabajo de Log Analytics que está configurada para recibir los registros de actividad de Azure Data Factory. Use cuentas de Azure Storage para el almacenamiento de archivo a largo plazo de registros, o centros de eventos para exportar los datos a otros sistemas.

Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un sistema SIEM de terceros. También puede integrar Azure Data Factory con Git para usar varias ventajas de control de código fuente, como la capacidad de hacer un seguimiento y auditar los cambios y la capacidad de revertir los cambios que introducen errores.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Habilite la configuración de diagnóstico para Azure Data Factory. Si almacena registros en un área de trabajo de Log Analytics, establezca el período de retención de dicha área de trabajo de acuerdo con la normativa de cumplimiento de su organización. Use Azure Storage para el almacenamiento de archivo a largo plazo. Alerta y supervisión de Data Factory mediante Azure Monitor:/azure/data-factory/monitor-using-azure-monitor#configure-diagnostic-settings-and-workspace Cambio del período de retención de datos:/azure/azure-monitor/platform/manage-cost-storage#change-the-data-retention-period

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Instrucciones: No aplicable. Data Factory no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio Data Factory se basa en los orígenes de sincronización de hora de Microsoft y esto no se expone a los clientes para configurarlo.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para Azure Data Factory con Azure Policy. Use los alias de Azure Policy del espacio de nombres "Microsoft.DataFactory" para crear directivas personalizadas. Configure las directivas para auditar o aplicar la configuración de red de sus instancias de Azure Data Factory.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Azure Policy [denegar] e [impleméntela si no existe] para aplicar la configuración segura a los clústeres de Azure HDInsight y los recursos relacionados.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los IR autohospedados que se ejecutan en máquinas virtuales y contenedores de Azure.

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: Si ejecuta el IR autohospedado en una máquina virtual de Azure, hay varias opciones para mantener una configuración segura de las máquinas virtuales para la implementación:

  • Plantillas de Azure Resource Manager: son archivos basados en JSON que se usan para implementar una máquina virtual desde Azure Portal. Las plantillas personalizadas deben mantenerse. Microsoft se ocupa del mantenimiento de las plantillas base.
  • Disco duro virtual (VHD) personalizado: en algunas circunstancias, puede ser necesario usar archivos VHD personalizados, como cuando se trabaja con entornos complejos que no se pueden administrar por otros medios.

Azure Automation State Configuration: una vez implementado el sistema operativo base, se puede usar para un control más pormenorizado de la configuración y aplicarlo a través del marco de automatización. Las plantillas de máquina virtual de Microsoft, combinadas con State Configuration de Azure Automation, pueden ayudar a cumplir y mantener los requisitos de seguridad.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Instrucciones: No aplicable. Microsoft administra las vulnerabilidades en los sistemas subyacentes que sustentan Data Factory.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Si ejecuta el IR autohospedado en una máquina virtual de Azure, use la solución Azure Update Management para administrar las actualizaciones y revisiones de las máquinas virtuales. Update Management se basa en el repositorio de actualización configurado localmente para aplicar revisiones a sistemas de Windows compatibles. Herramientas como System Center Updates Publisher permiten publicar actualizaciones personalizadas en Windows Server Update Services (WSUS). Este escenario permite que Update Management aplique revisiones a las máquinas que usan Configuration Manager como repositorio de actualizaciones con software de terceros.

Si ejecuta el IR autohospedado en una máquina virtual de Azure, puede usar el detector de vulnerabilidades nativo. El analizador de vulnerabilidades incluido con Microsoft Defender for Cloud cuenta con tecnología de Qualys. El detector de Qualys es la mejor herramienta para identificar vulnerabilidades en tiempo real en las máquinas virtuales de Azure.

Cuando Microsoft Defender for Cloud identifica vulnerabilidades, muestra las conclusiones y la información relacionada en forma de recomendaciones. La información relacionada incluye pasos para la corrección, CVE relacionados, puntuaciones de CVSS y mucho más. Se pueden ver las vulnerabilidades identificadas para una o varias suscripciones, o para una máquina virtual específica.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción para pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

Responsabilidad: Customer

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Si ejecuta el IR autohospedado en una máquina virtual de Azure, puede usar Microsoft Antimalware en las máquinas virtuales Windows de Azure para supervisar y defender continuamente los recursos.

Responsabilidad: Customer

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Cuando el IR autohospedado está implementado en una máquina virtual de Azure, Microsoft Antimalware para Azure instala automáticamente y de forma predeterminada las actualizaciones más recientes de la firma, la plataforma y el motor. Siga las recomendaciones de Microsoft Defender for Cloud sobre el proceso y las aplicaciones para asegurarse de que todos los puntos de conexión estén actualizados con las firmas más recientes. El sistema operativo Windows se puede proteger con seguridad adicional para limitar el riesgo de ataques basados en malware y virus con el servicio Protección contra amenazas avanzada de Microsoft Defender, que se integra con Microsoft Defender for Cloud.

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Si ejecuta los IR autohospedados en máquinas virtuales, habilite Azure Backup y configure las máquinas virtuales, así como la frecuencia y el período de retención necesarios para las copias de seguridad automáticas. Para hacer copias de seguridad de todo el código de Azure Data Factory, use la funcionalidad de control de código fuente en Data Factory.

Responsabilidad: Compartido

BR-2: Cifrado de los datos de copia de seguridad

Guía: Si ejecuta el IR autohospedado en máquinas virtuales de Azure, habilite Azure Backup para esas máquinas virtuales y especifique la frecuencia y los períodos de retención necesarios. Se pueden hacer copias de seguridad de las máquinas virtuales usando claves administradas por el cliente en Azure Key Vault.

Responsabilidad: Compartido

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Si ejecuta el IR autohospedado en máquinas virtuales de Azure, asegúrese de que dispone de la capacidad para restaurar datos de contenido periódicamente en Azure Backup. Si es necesario, pruebe la restauración de contenido en una red aislada. Pruebe periódicamente la restauración de la copia de seguridad de las claves administradas por el cliente.

Responsabilidad: Compartido

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Asegúrese de implementar medidas para evitar (y recuperarse de) la pérdida de las claves usadas para cifrar los metadatos de Azure Data Factory. Habilite la eliminación temporal y la protección de purga en la instancia de Azure Key Vault donde se almacenan las claves de cifrado de Data Factory para proteger las claves frente a la eliminación accidental o malintencionada.

Responsabilidad: Compartido

Pasos siguientes