Base de referencia de seguridad de Azure para Azure DevTest Labs

Esta línea de base de seguridad aplica las instrucciones descritas en la información general sobre Azure Security Benchmark versión 2.0 a Azure DevTest Labs. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y por las instrucciones relacionadas aplicables a Azure DevTest Labs.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure DevTest Labs y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo se asigna Azure DevTest Labs por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure DevTest Labs.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Al implementar los recursos de Azure DevTest Labs, debe crear una red virtual o usar una existente. En la red virtual elegida, aplique un grupo de seguridad de red (NSG) a sus subredes. Configure también los controles de acceso a la red de forma específica para los orígenes y los puertos de confianza de la aplicación. Cuando se configuran recursos de laboratorio con una red virtual, estos no son direccionables de forma pública. Solo puede acceder a esos recursos desde la red virtual.

También puede optar por crear un laboratorio con aislamiento de red. Junto con los entornos de laboratorio, los recursos de laboratorio (como las cuentas de almacenamiento y los almacenes de claves) están aislados en el laboratorio con aislamiento de red. Solo puede accederse a dichos recursos a través de puntos de conexión especificados.

Use Protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de grupos de seguridad de red. Limite los puertos y las direcciones IP de origen en función de reglas de tráfico de red externas.

El cliente controla y administra las máquinas virtuales implementadas por DevTest Labs en su red virtual. Para proteger estas máquinas virtuales, el cliente puede usar grupos de seguridad de red en la subred en la que se implementan los recursos.

DevTest Labs no habilita ningún protocolo heredado directamente. Es principalmente un recurso de proxy basado en una máquina virtual de proceso. DevTest Labs no controla ninguno de los elementos habilitados directamente en la máquina virtual de proceso.

Para la aplicación de artefactos, las máquinas virtuales necesitan poder realizar llamadas mediante HTTPS (puerto 443) a la cuenta de almacenamiento de Labs. Esta capacidad se usa para descargar información de los artefactos en la máquina virtual.

Al configurar DevTest Labs, el administrador puede no permitir el uso de direcciones IP públicas y compartidas. Si se tienen habilitadas estas direcciones, las máquinas virtuales se exponen parcialmente a la red pública de Internet (puerto SSH/RDP como mínimo). Si se deshabilitan estas opciones, solo se puede acceder a las máquinas virtuales a través de la dirección IP privada de la máquina virtual en la red virtual.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: Con Azure ExpressRoute o una red privada virtual (VPN) de Azure, puede crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las típicas conexiones a Internet, estas conexiones ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual. Use cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. El tráfico se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Los recursos de DevTest Labs usan la inserción de red virtual y se implementan directamente en una red virtual. El servicio no admite el uso de Private Link para establecer la conectividad a una red privada.

Al implementar recursos de DevTest Labs, debe crear una red virtual o usar una existente. Con la red virtual elegida, aplique un grupo de seguridad de red a sus subredes. Configure también los controles de acceso a la red de forma específica para los orígenes y los puertos de confianza de la aplicación. Si configura recursos de laboratorio con una red virtual, estos no son direccionables de forma pública. Solo puede acceder a esos recursos desde la red virtual.

También puede optar por crear un laboratorio con aislamiento de red. Junto con los entornos de laboratorio, los recursos de laboratorio (como las cuentas de almacenamiento y los almacenes de claves) están aislados en el laboratorio con aislamiento de red. Solo puede accederse a dichos recursos a través de puntos de conexión especificados.

Use el servicio Azure Firewall para trabajar con las directivas de conectividad de red y de aplicación en función de las necesidades de la organización. Cree, aplique y registre esas directivas de forma centralizada en las suscripciones y redes virtuales.

Responsabilidad: Compartido

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Proteja los recursos de DevTest Labs frente a ataques de redes externas, incluidos:

  • Ataques de denegación de servicio distribuido (DDoS).
  • Ataques específicos de la aplicación.
  • Tráfico de Internet no solicitado y potencialmente malintencionado.

Use Azure Firewall para proteger las aplicaciones y los servicios. Evite el tráfico potencialmente malintencionado de Internet y de otras ubicaciones externas. Para proteger sus recursos frente a ataques DDoS, habilite la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Mediante las etiquetas de servicio de red virtual, defina controles de acceso a la red en Azure Firewall o en los NSG configurados para sus recursos de DevTest Labs. Puede usar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino de una regla, puede permitir o denegar el tráfico del servicio correspondiente. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

También puede usar los grupos de seguridad de aplicaciones para simplificar una configuración de seguridad compleja. Con los grupos de seguridad de aplicaciones puede configurar la seguridad de red como extensión natural de una estructura de aplicación. Esta estructura le permite agrupar máquinas virtuales y definir directivas de seguridad de red que se basan en esos grupos.

Responsabilidad: Compartido

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de Sistema de nombres de dominio (DNS) a fin de mitigar los ataques comunes, por ejemplo:

  • DNS pendientes
  • Ataques de amplificaciones de DNS
  • Suplantación de identidad y uso dudoso de DNS

¿Quiere usar Azure DNS como servicio DNS autoritativo? Si es así, proteja los registros y zonas DNS frente a modificaciones accidentales o malintencionadas mediante el control de acceso basado en roles (RBAC) de Azure y los bloqueos de recursos.

Responsabilidad: Compartido

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Estandarización de Azure AD como sistema central de identidad y autenticación

Guía: DevTest Labs usa Azure Active Directory (Azure AD) como el servicio de administración de identidad y acceso predeterminado de Azure. Estandarice Azure AD para controlar la administración de identidad y acceso de su organización en:

  • Recursos de Microsoft Cloud, por ejemplo:

    • Azure portal
    • Azure Storage
    • Azure Virtual Machine (Linux y Windows)
    • Azure Key Vault
    • Plataforma como servicio (PaaS)
    • Aplicaciones de software como servicio (SaaS)
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

Céntrese en la protección de Azure AD en las prácticas de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad, lo que le ayuda a evaluar la posición de seguridad de las identidades en relación con los procedimientos recomendados de Microsoft. Use esta puntuación para medir el nivel de coincidencia entre su configuración y los procedimientos recomendados. A continuación, incorpore mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas, por lo que los usuarios que no tienen una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos mediante su identidad externa.

Hay tres roles principales que puede asignar a un usuario en DevTest Labs:

  • Propietario
  • Usuario de DevTest Labs
  • Colaborador

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: DevTest Labs admite identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, use identidades administradas con Azure DevTest Labs. DevTest Labs se puede autenticar de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se produce a través de una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma rígida en archivos de configuración o código fuente.

Responsabilidad: Compartido

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: DevTest Labs usa Azure AD para proporcionar administración de identidad y acceso a:

  • Recursos de Azure
  • Aplicaciones en la nube
  • Aplicaciones locales

La administración de identidad y acceso cubre identidades empresariales, como empleados, e identidades externas, incluidos:

  • Asociados
  • Proveedores
  • Suppliers

Con esta administración, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización, locales y en la nube. Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD para obtener:

  • Acceso seguro y sin problemas.
  • Mayor visibilidad y control.

Para obtener más información, lea el artículo siguiente:

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Puede implementar DevTest Labs con plantillas de Azure Resource Manager que pueden tener secretos definidos en el código. Implemente Credential Scanner para identificar las credenciales en la infraestructura de DevTest Labs como plantillas de código. Credential Scanner también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, puede usar la característica nativa de examen de secretos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Para asegurarse de que tanto las cuentas de usuario como su acceso son válidos, DevTest Labs usa Azure AD para:

  • Administrar sus recursos
  • Revisar las cuentas de usuario
  • Acceder a las asignaciones con regularidad

Puede usar Azure AD y las revisiones de acceso para revisar:

  • Pertenencias a grupos
  • Acceso a aplicaciones empresariales
  • Asignaciones de roles

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Use también Azure AD PIM para crear flujos de trabajo de informes de revisión de acceso como ayuda al proceso de revisión.

Puede configurar Azure AD PIM para que le avise cuando se cree un número excesivo de cuentas de administrador. La configuración también puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Los roles integrados admitidos son los siguientes:

  • Propietario

  • Usuario de DevTest Labs

  • Colaborador

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administradores
  • Desarrolladores
  • Operadores de servicios críticos

Para las tareas administrativas relacionadas con los recursos de DevTest Labs, use estaciones de trabajo de usuario altamente protegidas o Azure Bastion. Para implementar una estación de trabajo de usuario segura y administrada, use cualquiera de los componentes siguientes:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Puede administrar de forma centralizada las estaciones de trabajo protegidas para aplicar la configuración protegida, lo que incluye:

  • Autenticación sólida.
  • Bases de referencia de software y hardware.
  • Acceso lógico y de red restringido.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: DevTest Labs se integra en Azure RBAC para administrar sus recursos. Use Azure RBAC para administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Estos roles se pueden inventariar o consultar a través de herramientas, por ejemplo:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque JIT de Azure AD PIM y se debe revisar periódicamente.

Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Hay tres roles principales que puede asignar a un usuario:

  • Propietario

  • Usuario de DevTest Labs

  • Colaborador

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: DevTest Labs no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía: Las características de identificación, clasificación y prevención de pérdida de datos aún no están disponibles en DevTest Labs. Etiquete las instancias que contengan información confidencial como tal. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial. Se hace todo lo posible para evitar la pérdida de datos de los clientes y su exposición. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales restringiendo el acceso mediante:

  • Azure RBAC.
  • Controles de acceso basados en red.
  • Controles específicos en los servicios de Azure, como el cifrado.

Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación de la empresa. Informe a la estrategia de segmentación de su empresa sobre la ubicación de los sistemas y datos confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial. Esto sirve de protección frente a la pérdida y exposición de datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunas funcionalidades y controles de protección de datos predeterminados.

Responsabilidad: Compartido

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: No aplicable; DevTest Labs admite la transferencia de datos del cliente. Sin embargo, no admite la supervisión nativa de la transferencia no autorizada de datos confidenciales.

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: DevTest Labs requiere que las comunicaciones estén cifradas con seguridad de la capa de transporte (TLS) de manera predeterminada. Actualmente se admiten las versiones de TLS 1.2. ¿Su biblioteca o herramienta de cliente no admiten TLS? Si es así, puede habilitar las conexiones sin cifrar a través de Azure Portal o las API de administración. Si no es posible realizar conexiones cifradas, puede colocar las aplicaciones cliente y de laboratorio en una red virtual.

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: DevTest Labs almacena los datos de cliente siguientes:

  • Resultados de artefacto que incluyen registros de implementación y extensión generados al aplicar artefactos.

  • Documentos de fórmula que se utilizan para crear máquinas virtuales a partir de fórmulas.

  • Discos de datos y del sistema operativo para máquinas virtuales de laboratorio.

DevTest Labs envía los resultados de artefacto y los documentos de fórmula a una cuenta de Azure Storage que se crea como parte de cada implementación de laboratorio. Los datos de Azure Storage se cifran y se descifran de forma transparente mediante el cifrado Estándar de cifrado avanzado (AES) de 256 bits. El cifrado AES es uno de los cifrados de bloques más seguros disponibles y sigue el Estándar federal de procesamiento de información (FIPS) 140-2. El cifrado de Azure Storage no se puede deshabilitar. Puede confiar en las claves administradas por Microsoft para el cifrado de la cuenta de almacenamiento. Otra opción es administrar el cifrado con sus propias claves.

De manera predeterminada, todos los discos de datos y del sistema operativo de laboratorio están cifrados con una clave administrada por Microsoft. Cuando se escriben en los discos administrados existentes, los elementos siguientes se cifran automáticamente en reposo con claves administradas por Microsoft:

  • Discos administrados
  • Instantáneas
  • Imágenes
  • data

Como propietario de un laboratorio, puede configurar los discos del sistema operativo de laboratorio para que se cifren con una clave administrada por el cliente. Actualmente no se puede configurar a través del laboratorio ningún tipo de cifrado que use una clave administrada por el cliente para los discos de datos de laboratorio. Sin embargo, un administrador de suscripciones puede configurar esta opción para los discos de laboratorio dentro de una suscripción por ahora.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Asegúrese de que los equipos de seguridad pueden acceder a un inventario de recursos actualizado continuamente en Azure, como DevTest Labs. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es una entrada de mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización y asígnele acceso de lectura a todos los recursos de DevTest Labs. Estas acciones pueden simplificarse en una única asignación de roles de alto nivel dentro de su suscripción.

Para organizarlos lógicamente en una taxonomía, aplique etiquetas a los elementos siguientes:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en las máquinas virtuales. La información que está disponible en Azure Portal incluye:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a las fechas de instalación y otra información, habilite los diagnósticos a nivel del invitado. A continuación, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Use controles de aplicaciones adaptables de Microsoft Defender for Cloud para especificar a qué tipos de archivo se aplica una regla o no.

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: Azure Automation proporciona un control total de las cargas de trabajo y los recursos durante las fases siguientes:

  • Implementación
  • Operations
  • Retirada

Como administrador de la suscripción, puede usar Change Tracking para identificar todo el software instalado en las máquinas virtuales hospedadas en DevTest Labs. Para quitar software no autorizado, puede implementar su propio proceso o usar State Configuration de Azure Automation.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Con la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud, habilite Microsoft Defender para sus recursos de DevTest Labs, como los siguientes:

  • Máquinas virtuales
  • Cuentas de almacenamiento
  • Otros recursos

Microsoft Defender proporciona una capa adicional de inteligencia de seguridad. Detecta intentos inusuales y potencialmente perjudiciales de acceder a los recursos de Azure o vulnerarlos.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Implemente un NSG en la red en la que se implementan los recursos de DevTest Labs. Habilite los registros de flujo de NSG en sus NSG para la auditoría del tráfico.

También puede enviar registros de flujo de NSG a un área de trabajo de Log Analytics. A continuación, use Análisis de tráfico para proporcionar información sobre el flujo de tráfico en la nube de Azure. Entre las ventajas de Análisis de tráfico se encuentran las capacidades de:

  • Visualización de la actividad de red e identificación de las zonas activas.
  • Identificación de amenazas de seguridad.
  • Comprensión de los patrones de flujo de tráfico.
  • Identificación de errores de configuración de red.

DevTest Labs no genera ni procesa registros de consultas de DNS.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos de DevTest Labs. Los registros de actividad están disponibles automáticamente, pero no contienen operaciones de lectura (GET). Use los registros de actividad para buscar un error durante la solución de problemas. O bien, use los registros para supervisar de qué manera un usuario de su organización ha modificado un recurso.

DevTest Labs crea máquinas de proceso de Azure propiedad del cliente que este administra. Use Microsoft Monitoring Agent en todas las instancias compatibles de Azure Windows Virtual Machines para registrar el evento de creación de procesos y el campo CommandLine. En el caso de instancias de Linux Virtual Machines de Azure compatibles, configure manualmente el registro de la consola en cada nodo. Después, use Syslog para almacenar los datos. Además, use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros. A continuación, puede ejecutar consultas en los datos registrados desde Azure Virtual Machines.

DevTest Labs también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite estos registros de auditoría de administrador local.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el registro, el almacenamiento y el análisis de los registros de DevTest Labs. Integre en la solución de registro central los registros de actividad de Azure que generen las acciones de administración de DevTest Labs. Ingiera los registros a través de Azure Monitor para agregar los datos de seguridad generados por:

  • Dispositivos de punto de conexión
  • Recursos de red
  • Otros sistemas de seguridad

En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

Asimismo, habilite e incorpore datos en Microsoft Sentinel o en un SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso que se usan frecuentemente. A continuación, los organizaciones seleccionarán Azure Storage para los datos inactivos que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: ¿Tiene cuentas de almacenamiento o áreas de trabajo de Log Analytics que se usan para almacenar registros de DevTest Labs? A continuación, establezca el período de retención de acuerdo con la normativa de cumplimiento de su organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft mantiene los orígenes de hora de la mayoría de los servicios PaaS y SaaS de la plataforma de Azure. En el caso de las máquinas virtuales, use un servidor predeterminado del protocolo de hora de red (NTP) de Microsoft para la sincronización de hora, a menos que tenga un requisito específico. Si tiene que instalar su propio servidor NTP, proteja el puerto 123 del servicio de Protocolo de datagramas de usuario (UDP).

Todos los registros que generan los recursos de Azure proporcionan marcas de tiempo, con la zona horaria especificada de manera predeterminada.

Responsabilidad: Compartido

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Use alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración de los recursos de Azure que DevTest Labs crea. También puede usar definiciones de Azure Policy integradas.

Azure Resource Manager puede exportar la plantilla en notación de objetos JavaScript (JSON). Para asegurarse de que las configuraciones cumplan o superen los requisitos de seguridad de su organización, revise la plantilla JSON.

También puede usar las recomendaciones de Microsoft Defender for Cloud como línea base de configuración segura para los recursos de Azure.

Responsabilidad: Compartido

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Use Microsoft Defender for Cloud para supervisar la línea base de configuración. Aplique estas configuraciones con los efectos de "Deny" y "DeployIfNotExists" de Azure Policy. Estas acciones ayudan a mantener una configuración segura en todos los recursos de DevTest Labs.

Use los alias de Azure Policy en el espacio de nombres "Microsoft.DevTestLab". Cree directivas personalizadas para alertar, auditar y aplicar configuraciones del sistema. Asimismo, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Cree y mantenga configuraciones de seguridad en todos los recursos de procesos subyacentes que DevTest Labs cree. Use las recomendaciones de Microsoft Defender for Cloud y Azure Policy para crear estas configuraciones. Para establecer la configuración de seguridad del sistema operativo que requiere su organización, puede usar uno de estos elementos:

  • Imágenes de sistema operativo personalizadas
  • State Configuration de Azure Automation
  • Artefactos de DevTest Labs

Para más información, consulte los siguientes artículos:

Responsabilidad: Compartido

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: Con Microsoft Defender for Cloud y Azure Policy, evalúe y corrija periódicamente los riesgos de configuración en los recursos de proceso de Azure. Estos riesgos incluyen máquinas virtuales, contenedores y otros elementos. Para mantener la configuración de seguridad del sistema operativo que requiere la organización, use también uno de estos componentes:

  • Plantillas del Administrador de recursos de Azure
  • Imágenes de sistema operativo personalizadas
  • State Configuration de Azure Automation

Las plantillas de máquina virtual de Microsoft y State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad.

Además, las imágenes de máquinas virtuales de Azure Marketplace que publica Microsoft también las administra y las mantiene Microsoft.

Responsabilidad: Compartido

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía: En el caso de las imágenes personalizadas, use Azure RBAC para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes. Con Shared Image Gallery, puede compartir sus imágenes con laboratorios específicos que las necesiten. En el caso de las imágenes de contenedor, almacénelas en Azure Container Registry y, a continuación, asegúrese de que solo los usuarios autorizados puedan acceder a las imágenes con Azure RBAC.

Responsabilidad: Customer

PV-6: Realizar evaluaciones de vulnerabilidad de software

Guía: ¿Tiene recursos de proceso de Azure subyacentes a DevTest Labs que se creen como parte de un laboratorio? En ese caso, puede usar una solución de terceros para realizar evaluaciones de vulnerabilidades en DevTest Labs. Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Exporte los resultados del examen a intervalos coherentes, según sea necesario. Después, compare los resultados con exámenes anteriores para comprobar que las vulnerabilidades se han corregido.

Responsabilidad: Customer

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Con Azure Update Management, instale las actualizaciones de seguridad más recientes en las máquinas virtuales con Windows y Linux hospedadas en DevTest Labs. En el caso de las máquinas virtuales con Windows, habilite Windows Update y configúrelo para actualizarse automáticamente. Esta configuración no está disponible actualmente para establecerla a través de DevTest Labs. Un administrador de laboratorio o un administrador de suscripciones puede configurar este valor en las máquinas virtuales de proceso subyacentes de su suscripción.

Céntrese en usar un programa de puntuación de riesgos común, como Common Vulnerability Scoring System. Otra opción es usar las clasificaciones de riesgo predeterminadas que proporcione su herramienta de examen de terceros. Después, adapte su entorno con el uso de contexto para las aplicaciones que presentan un riesgo de seguridad alto y aquellas que requieren un tiempo de actividad elevado.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.

Responsabilidad: Compartido

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los problemas críticos de seguridad que se encuentren.

Para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia y la ejecución de Microsoft para las pruebas de penetración de sitios activos y las actividades de equipo rojo en los elementos administrados por Microsoft siguientes:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Supervise y proteja sus recursos de forma continuada con Microsoft Antimalware para Azure. Para Linux, use una solución antimalware de terceros. Para detectar malware cargado en las cuentas de almacenamiento, use la detección de amenazas de Microsoft Defender for Cloud para los servicios de datos.

Responsabilidad: Customer

ES-3: Asegurarse de que el software y las firmas de antimalware estén actualizados

Guía: Cuando se implementa, Microsoft Antimalware para Azure instala automáticamente y de manera predeterminada las actualizaciones más recientes de firma, plataforma y motor. Asegúrese de que todos los puntos de conexión de DevTest Labs subyacentes a los recursos de proceso estén actualizados con las firmas más recientes. Siga las recomendaciones en "Procesos y aplicaciones" de Microsoft Defender for Cloud. Puede agregar más seguridad para una mayor protección del sistema operativo Windows. Limite el riesgo de ataques basados en malware o virus con el servicio Microsoft Defender Advanced Threat Protection que se integra con Microsoft Defender for Cloud.

Responsabilidad: Compartido

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Actualmente, DevTest Labs no admite instantáneas ni copias de seguridad de máquinas virtuales. Puede crear instantáneas de las máquinas virtuales de Azure subyacentes que se hospedan en DevTest Labs. Otra opción es crear instantáneas de los discos administrados que están conectados a esas instancias mediante PowerShell o las API REST. Solo tiene que asegurarse de que tiene el acceso adecuado a los recursos de proceso subyacentes. También puede hacer una copia de seguridad de cualquier clave administrada por el cliente en Azure Key Vault.

Habilite Azure Backup en máquinas virtuales de Azure de destino y establezca los períodos de retención y frecuencia deseados. Esto incluye una copia de seguridad completa del estado del sistema. ¿Usa el cifrado de discos de Azure? Si es así, la copia de seguridad de máquinas virtuales de Azure controla automáticamente la copia de seguridad de las claves administradas por el cliente.

Responsabilidad: Customer

BR-2: Cifrado de los datos de copia de seguridad

Guía: Proteja sus copias de seguridad frente a ataques. Para proteger frente a la pérdida de confidencialidad, incluya el cifrado de las copias de seguridad.

En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que especifique. En el caso de las copias de seguridad periódicas de servicios de Azure, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma de Azure. También puede optar por cifrar la copia de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente del almacén de claves también esté en el ámbito de la copia de seguridad.

Use el control de acceso basado en rol para proteger las copias de seguridad y las claves administradas por el cliente en lo siguiente:

  • Azure Backup
  • Azure Key Vault
  • Otros recursos

También puede habilitar características de seguridad avanzadas para exigir MFA antes de que se puedan modificar o eliminar las copias de seguridad.

Responsabilidad: Customer

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Asegúrese de forma periódica de que puede restaurar los datos de los que se ha hecho una copia de seguridad o las claves administradas por el cliente.

Responsabilidad: Compartido

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Aplique medidas para evitar la pérdida de claves y recuperarse de ella si se produjera. Habilite la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada.

Responsabilidad: Customer

Pasos siguientes