Base de referencia de seguridad de Azure para Azure Firewall

Esta base de referencia de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark a Azure Firewall. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Firewall.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles que no son aplicables a Azure Firewall o cuya responsabilidad es de Microsoft. Para ver cómo Azure Firewall se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de Azure Firewall completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Azure Firewall se integra con Azure Monitor para registrar el tráfico procesado por el firewall.

Además, use Microsoft Defender for Cloud y siga las recomendaciones de protección de redes para que pueda proteger los recursos de red relacionados con Azure Firewall.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Habilite el filtrado basado en inteligencia sobre amenazas para alertar y denegar el tráfico desde y hacia los dominios y las direcciones IP malintencionados. El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: En una instancia de Azure Firewall, una etiqueta de servicio representa un grupo de prefijos de direcciones IP que ayudan a reducir la complejidad de la creación de reglas de seguridad.

Las etiquetas de servicio de Azure Firewall se pueden usar en el campo de destino de reglas de red y definen controles de acceso a la red en Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad.

Además, también se admiten etiquetas definidas por el cliente, como los grupos de direcciones IP, y se pueden usar en una regla de red o en una regla de aplicación. Se admiten etiquetas FQDN en las reglas de una aplicación para permitir que pase el tráfico de red saliente necesario a través del firewall.

Tenga en cuenta que no puede crear su propia etiqueta de servicio, ni especificar qué direcciones IP se incluyen dentro de una etiqueta. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente esta a medida que las direcciones cambian.

Responsabilidad: Customer

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Azure Policy todavía no es totalmente compatible con Azure Firewall. Azure Firewall Manager se puede usar para lograr la normalización de las configuraciones de seguridad.

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como plantillas de Azure Resource Manager, controles de Azure RBAC y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Use el registro de actividad de Azure para supervisar las configuraciones de recursos y detectar cambios en los recursos de Azure Firewall. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Instrucciones: Microsoft mantiene los orígenes de hora de los recursos de Azure para Azure Firewall. Los clientes deben crear una regla de red para permitir este acceso o para un servidor horario que use en su entorno.

Responsabilidad: Compartido

2.2: Configuración de la administración central de registros de seguridad

Guía: puede habilitar e incorporar datos de registro en Microsoft Sentinel o en un SIEM de terceros para la administración central de registros de seguridad de varios registros.

Los registros de actividad se pueden usar para auditar las operaciones en Azure Firewall y supervisar las acciones en los recursos. El registro de actividad contiene todas las operaciones de escritura (PUT, POST, DELETE) para los recursos, excepto las de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Azure Firewall también proporciona los registros de diagnóstico siguientes para proporcionar información sobre las aplicaciones cliente y las reglas de red.

Registro de regla de aplicación: Cada nueva conexión que coincida con una de las reglas de la aplicación configuradas dará como resultado un registro de la conexión aceptada o rechazada.

Registro de regla de red: Cada nueva conexión que coincida con una de las reglas de red configuradas dará como resultado un registro de la conexión aceptada o rechazada.

Nota: Ambos registros se pueden guardar en una cuenta de almacenamiento, transmitir a Event Hubs o enviar a los registros de Azure Monitor solo si se han habilitado para cada instancia de Azure Firewall en un entorno.

Lista de acciones de recursos en los registros de actividad: Operaciones del proveedor de recursos de Azure Resource Manager

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Los registros de actividad se pueden usar para auditar las operaciones en Azure Firewall y supervisar las acciones en los recursos. El registro de actividad contiene todas las operaciones de escritura (PUT, POST, DELETE) para los recursos de Azure, excepto las operaciones de lectura (GET). Azure Firewall también proporciona los registros de diagnóstico siguientes para proporcionar información sobre las aplicaciones cliente y las reglas de red.

Registro de regla de aplicación: Cada nueva conexión que coincida con una de las reglas de la aplicación configuradas dará como resultado un registro de la conexión aceptada o rechazada.

Registro de regla de red: Cada nueva conexión que coincida con una de las reglas de red configuradas dará como resultado un registro de la conexión aceptada o rechazada.

Observe que ambos registros se pueden guardar en una cuenta de almacenamiento, transmitir a Event Hubs o enviar a los registros de Azure Monitor, pero solo si se han habilitado para cada instancia de Azure Firewall en un entorno.

Responsabilidad: Customer

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: El período de retención del área de trabajo de Log Analytics se puede establecer de acuerdo con la normativa de cumplimiento de una organización dentro de Azure Monitor. La retención de datos se puede configurar entre 30 y 730 días (2 años) para todas las áreas de trabajo en función del plan de tarifa seleccionado.

Hay tres opciones para almacenar la retención de almacenamiento de registros:

  • cuentas que resultan especialmente útiles para registros cuando estos se almacenan durante mucho tiempo y se revisan cuando es necesario.

  • es una buena opción para la integración con otras herramientas de administración de eventos e información de seguridad (SIEM) para obtener alertas sobre los recursos.

  • se usan para la supervisión general en tiempo real de la aplicación o para examinar las tendencias.

Para obtener más información, vea los siguientes vínculos de referencia.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Instrucciones: Azure Firewall se integra con Azure Monitor para ver y analizar los registros de firewall. Los registros se pueden enviar a Log Analytics, Azure Storage o Event Hubs. Puede analizarse en Log Analytics o usando distintas herramientas, como Excel y Power BI. Hay algunos tipos distintos de registros de Azure Firewall.

Los registros de actividad se pueden usar para auditar las operaciones en Azure Firewall y supervisar las acciones en los recursos. El registro de actividad contiene todas las operaciones de escritura (PUT, POST, DELETE) para los recursos, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Azure Firewall también proporciona registros de diagnóstico para proporcionar información sobre las aplicaciones cliente y las reglas de red.

Los registros de regla de aplicación se crean cuando cada conexión nueva que coincida con una de las reglas de la aplicación configuradas da como resultado un registro de la conexión aceptada o rechazada.

Los registros de regla de red se crean cuando cada conexión nueva que coincida con una de las reglas de red configuradas da como resultado un registro de la conexión aceptada o rechazada.

Observe que ambos registros se pueden guardar en una cuenta de almacenamiento, transmitir a Event Hubs o enviar a los registros de Azure Monitor, pero solo si se han habilitado para cada instancia de Azure Firewall en un entorno.

Los registros de Azure Monitor se pueden usar para la supervisión general en tiempo real de la aplicación o para examinar las tendencias.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: use Microsoft Defender for Cloud con las áreas de trabajo de Log Analytics y así poder realizar la supervisión y enviar alertas sobre actividades anómalas que se encuentran en los registros y eventos de seguridad.

Como alternativa, puede habilitar e incorporar datos a Microsoft Sentinel.

Responsabilidad: Customer

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use la administración de identidad y el acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas.

También puede habilitar el acceso Just-in-Time/Just-Enough usando roles con privilegios de Privileged Identity Management de Azure Active Directory (Azure AD) para los servicios de Microsoft y Azure Resource Manager.

Responsabilidad: Customer

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use las recomendaciones de acceso y administración de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de administración de identidad y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: Use estaciones de trabajo de acceso con privilegios (PAW) con la autenticación multifactor configurada para iniciar sesión en recursos de Azure Firewall y recursos relacionados y configurarlos.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Use los informes de seguridad de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzcan actividades sospechosas o no seguras en el entorno. Use Microsoft Defender for Cloud para supervisar la actividad de identidad y acceso.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Tiene acceso a los orígenes de registro de eventos de riesgo, auditoría y actividad de sesión de Azure Active Directory (Azure AD), que permiten la integración en cualquier herramienta SIEM o de supervisión.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten relacionadas con las identidades de los usuarios. También puede ingerir datos en Microsoft Sentinel para realizar una investigación más exhaustiva.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: Use etiquetas para ayudar a realizar el seguimiento de los recursos de Azure Firewall y recursos relacionados que almacenan o procesan información confidencial.

Responsabilidad: Customer

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Implemente el aislamiento mediante suscripciones independientes y grupos de administración para dominios de seguridad individuales, como el tipo de entorno y el nivel de confidencialidad de los datos. Puede restringir el nivel de acceso a los recursos de Azure Firewall que necesitan sus aplicaciones y entornos empresariales. Puede controlar el acceso a los recursos de Azure a través del control de acceso basado en rol de Azure.

Responsabilidad: Customer

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Use una solución de terceros de Azure Marketplace en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias al tiempo que alerta a los profesionales de seguridad de la información.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y protege a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan a los recursos de Azure Firewall y recursos relacionados pueden negociar TLS 1.2 o superior.

Siga las recomendaciones de Microsoft Defender for Cloud para el cifrado en reposo y el cifrado en tránsito, si procede.

Responsabilidad: Compartido

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Use una herramienta de detección activa de terceros para identificar toda la información confidencial almacenada en el recurso de Azure mediante los recursos de Azure Firewall y recursos relacionados y actualizar el inventario de información confidencial de la organización.

Responsabilidad: Compartido

4.6: Uso de RBAC de Azure para controlar el acceso a los recursos

Guía: Use el control de acceso basado en roles (RBAC de Azure) de Azure Active Directory para controlar el acceso a recursos de Azure Firewall y recursos relacionados.

Responsabilidad: Customer

4.8: Cifrado de información confidencial en reposo

Guía: Use el cifrado en reposo en todos los recursos de Azure mediante los recursos de Azure Firewall y recursos relacionados. Microsoft recomienda permitir que Azure administre las claves de cifrado, pero existe la opción de administrar sus propias claves en algunas instancias.

Responsabilidad: Customer

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en Azure Firewall.

Responsabilidad: Customer

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.2: Mantenimiento de metadatos de recursos

Guía: Aplique etiquetas a los recursos de Azure Firewall y recursos relacionados y proporcione metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos de Azure Firewall y recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Instrucciones: Cree un inventario de los recursos aprobados de Azure Firewall, incluida la configuración según las necesidades de su organización.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones.

Use Azure Resource Graph para consultar o detectar recursos de Azure Firewall dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure Firewall y recursos relacionados presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Implemente su propio proceso para quitar los recursos de Azure Firewall y recursos relacionados no autorizados. También puede usar una solución de terceros para identificar los recursos de Azure Firewall y recursos relacionados no autorizados.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: Las aplicaciones que pueden ser necesarias para las operaciones empresariales o entornos con perfiles de riesgo diferentes para la organización se deben aislar y separar con instancias independientes de Azure Firewall.

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Azure Resource Manager tiene la capacidad de exportar la plantilla en notación de objetos JavaScript (JSON), que se debe revisar para asegurarse de que las configuraciones cumplan o superen los requisitos de seguridad de la organización.

También puede usar las recomendaciones de Microsoft Defender for Cloud como una línea base de configuración segura para los recursos de Azure.

Azure Policy no es totalmente compatible con Azure Firewall en este momento.

Responsabilidad: Customer

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Utilice las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure Firewall y recursos relacionados. Además, puede usar plantillas de Azure Resource Manager para mantener la configuración de seguridad de los recursos de Azure Firewall y recursos relacionados que requiere su organización.

Responsabilidad: Customer

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Use Azure DevOps para almacenar y administrar de forma segura el código, como directivas personalizadas de Azure y plantillas de Azure Resource Manager. Para acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o Active Directory si se integran con TFS.

Responsabilidad: Customer

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para los recursos de Azure Firewall y recursos relacionados con Azure Policy. Use alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de los recursos de Azure Firewall. También puede usar definiciones de directivas integradas relacionadas con recursos concretos.

Responsabilidad: Customer

7.12: Administre las identidades de forma segura y automática

Instrucciones: Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure Active Directory (Azure AD). Las identidades administradas le permiten autenticarse en cualquier servicio que admite la autenticación de Azure AD en Azure Resource Manager y se puede usar con la API/Azure Portal/CLI/PowerShell.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Use Azure Resource Manager para exportar los recursos de Azure Firewall y recursos relacionados en una plantilla de notación de objetos JavaScript (JSON) que se puede usar como copia de seguridad para Azure Firewall y configuraciones relacionadas. También puede exportar la configuración de Azure Portal con la característica Exportación de la plantilla de Azure Firewall en Azure Portal. Use Azure Automation para ejecutar automáticamente los scripts de copia de seguridad.

Responsabilidad: Customer

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: Use Azure Resource Manager para exportar los recursos de Azure Firewall y recursos relacionados en una plantilla de notación de objetos JavaScript (JSON) que se puede usar como copia de seguridad para Azure Firewall y configuraciones relacionadas. También puede exportar la configuración de Azure Portal con la característica Exportación de la plantilla de Azure Firewall en Azure Portal.

Responsabilidad: Customer

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Garantice la restauración periódica con copias de seguridad de los archivos de plantilla de Azure Resource Manager.

Responsabilidad: Customer

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Use Azure DevOps para almacenar y administrar de forma segura el código, como directivas personalizadas de Azure y plantillas de Azure Resource Manager. Para proteger los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o en Active Directory si se integran con TFS.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención maliciosa detrás de la actividad que condujo a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no producción) con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar riesgos para los recursos de Azure.

La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: use la característica Automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en la nube, los servicios y las aplicaciones administrados por Microsoft.

Responsabilidad: Compartido

Pasos siguientes