Base de referencia de seguridad de Azure para Azure Front Door

Esta base de referencia de seguridad aplica las directrices de la versión 2.0 de Azure Security Benchmark a Azure Front Door. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a Azure Front Door.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Front Door y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Front Door se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Front Door.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Use Azure PowerShell para crear una directiva de filtrado geográfico y asociarla con el host de front-end existente de Azure Front Door. Esta directiva de filtrado geográfico bloqueará las solicitudes de las redes externas, como las de otros países o regiones, excepto Estados Unidos.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1

NS-6: simplificación de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Virtual Network para definir controles de acceso a la red en los grupos de seguridad configurados para los recursos de ofertas de Azure Front Door. Las etiquetas de servicio se pueden usar en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (AzureFrontDoor.Frontend, AzureFrontDoor.Backend o AzureFrontDoor.FirstParty) en el campo de origen o de destino adecuado de una regla, puede permitir o denegar el tráfico del servicio correspondiente.

Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: No aplicable; Azure Front Door no expone sus configuraciones de DNS subyacentes; Microsoft mantiene esta configuración.

Responsabilidad: Microsoft

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son de una importancia vital para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos.

Use estaciones de trabajo de usuario de alta seguridad con Azure Bastion para las tareas administrativas. Elija Azure Active Directory (Azure AD), Advanced Threat Protection (ATP) de Microsoft Defender y Microsoft Intune para implementar estaciones de trabajo de usuario seguras y administradas para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, base de referencia de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Front Door se integra con el control de acceso basado en rol de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell o el Azure Portal.

Siga el modelo de privilegios mínimos para los permisos basados en roles asignados a los recursos con Azure RBAC y asegúrese de que se basan en las necesidades de la empresa. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use roles integrados para asignar permisos y cree únicamente roles personalizados cuando sea necesario.

Responsabilidad: Compartido

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques de "fuera de banda" (por ejemplo, captura del tráfico) mediante cifrado para que los atacantes no puedan leer ni modificar los datos fácilmente.

Front Door admite las versiones 1.0, 1.1 y 1.2 de TLS. Aún no se admite TLS 1.3. Todos los perfiles de Front Door creados después de septiembre de 2019 usan TLS 1.2 como valor mínimo predeterminado.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: Azure proporciona el cifrado de datos en reposo de manera predeterminada. En el caso de datos muy confidenciales, elija alguna de las opciones para implementar el cifrado adicional en reposo en todos los recursos de Azure donde sea posible. Azure administra las claves de cifrado de forma predeterminada, pero también le ofrece opciones para administrar las suyas propias (claves administradas por el cliente) en determinados servicios de Azure.

Implemente una herramienta de terceros, como una solución de prevención de pérdida de datos basada en host automatizada, para aplicar controles de acceso a los datos incluso cuando se copian datos de un sistema.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino y las suscripciones de Azure para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Sin embargo, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para tener visibilidad sobre las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones.

Use Azure Monitor para crear reglas para desencadenar alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Azure Front Door no proporciona funciones nativas para supervisar las amenazas de seguridad relacionadas con sus recursos. Los clientes pueden reenviar los registros de Azure Front Door a un sistema SIEM, que se puede usar para la detección de amenazas.

Asegúrese de que supervisa distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos. Céntrese en las alertas de alta calidad para reducir las detecciones de falsos positivos.

Responsabilidad: Microsoft

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Azure Front Door no está concebido para implementarse en redes virtuales; por ello, los clientes no pueden habilitar el registro del flujo de grupos de seguridad de red, enrutar el tráfico mediante un firewall o realizar capturas de paquetes.

Azure Front Door registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la característica de registros del flujo de red y configure estos registros para enviarse a una cuenta de almacenamiento para la retención a largo plazo y que puedan someterse a auditorías.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) de los recursos de Azure Front Door, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Azure Front Door. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación posterior de incidentes de seguridad y la realización de ejercicios forenses.

Responsabilidad: Compartido

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales, los contenedores y otros.

Responsabilidad: Compartido

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: No aplicable; Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Front Door.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Implemente rápidamente las actualizaciones de software para corregir las vulnerabilidades de software en los sistemas operativos y aplicaciones.

Use de forma prioritaria un programa de puntuación de riesgos común (por ejemplo, Common Vulnerability Scoring System) o la clasificación de riesgos predeterminada proporcionada por la herramienta de análisis de terceros que emplee, y adáptelos a su entorno en el contexto de las aplicaciones que presentan un riesgo de seguridad alto y las que requieren un tiempo de actividad alto.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos. siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Pasos siguientes