Base de referencia de seguridad de Azure para Azure Functions
Esta línea de base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Functions. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Functions.
Nota
Se han excluido los Azure Functions que no son aplicables a las instrucciones globales y aquellos para los que se recomienda la guía global. Para ver cómo se Azure Functions completamente a Azure Security Benchmark, consulte el archivo de asignación Azure Functions base de referencia de seguridad completo.
Seguridad de redes
Para más información, consulte Azure Security Benchmark: seguridad de red.
NS-1: implementación de la seguridad para el tráfico interno
Guía:Al implementar recursos Azure Functions, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure sigan un principio de segmentación empresarial que se alinee con los riesgos empresariales. Cualquier sistema que pueda incurrir en un mayor riesgo para la organización debe aislarse dentro de su propia red virtual y protegerse lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.
Use Microsoft Defender para la protección de red adaptable en la nube para recomendar configuraciones de grupos de seguridad de red que limiten los puertos y las IP de origen en función de la referencia a las reglas de tráfico de red externas.
Azure Functions dos maneras principales de implementar recursos dentro de un contexto de red. Se puede crear una aplicación de función en el plan de Elastic Premium con puntos de conexión de servicio o puntos de conexión privados para la integración de red virtual de solicitudes entrantes con tunelización forzada para las solicitudes salientes. Una aplicación de función también se puede implementar completamente dentro de una red virtual mediante la ejecución en un App Service Environment. Al funcionar en estos modos, todavía es necesario establecer reglas y restricciones de red para dependencias como la cuenta de almacenamiento utilizada por Functions, así como cualquier evento o origen de datos.
Use Microsoft Sentinel para detectar el uso de protocolos no seguros heredados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin signo y cifrados débiles en Kerberos.
Las aplicaciones de función se crean de forma predeterminada para admitir TLS 1.2 como versión mínima, pero una aplicación se puede configurar con una versión inferior a través de una configuración. HTTPS no es necesario para las solicitudes entrantes de forma predeterminada, pero también se puede establecer a través de una configuración, momento en el que cualquier solicitud HTTP se redirigirá automáticamente para usar HTTPS.
Algunos orígenes de eventos consumidos por una aplicación pueden requerir la apertura de puertos adicionales hacia o desde la red, pero en el caso predeterminado esto no es necesario.
Las aplicaciones de función se pueden configurar con restricciones de IP para las solicitudes entrantes. Se establecen a través de una lista de prioridad de reglas de permitir o denegar sobre bloques IP, subredes de red virtual o etiquetas de servicio.
Creación de un grupo de seguridad de red con reglas de seguridad
Integración de su aplicación con una instancia de Azure Virtual Network
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-2: Conexión conjunta de redes privadas
Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.
Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-3: establecimiento del acceso de red privada a los servicios de Azure
Guía:use Azure Private Link para habilitar el acceso privado a Azure Functions desde las redes virtuales sin cruzar Internet.
El acceso privado es una medida adicional de defensa en profundidad para la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.
Al crear una conexión de punto de conexión privado de entrada para las funciones, también necesitará un registro DNS para resolver la dirección privada. De manera predeterminada, se creará automáticamente un registro DNS privado al crear un punto de conexión privado mediante Azure Portal.
Cuando no pueda usar puntos de conexión privados, use puntos de conexión de servicio de Azure Virtual Network para proporcionar acceso seguro a Azure Functions a través de una ruta optimizada a través de la red troncal de Azure sin cruzar Internet. Los puntos de conexión de servicio se pueden habilitar en el nivel de aplicación y subred para Azure Functions.
No puede usar puntos de conexión de servicio para restringir el acceso a las aplicaciones que se ejecutan en un entorno App Service Environment. Si la aplicación está en un entorno App Service Environment, puede controlar el acceso a ella con reglas de acceso de IP.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-4: protección de las aplicaciones y servicios de ataques de redes externas
Guía:proteja los recursos de Azure Functions frente a ataques de redes externas, incluidos ataques por denegación de servicio distribuido (DDoS), ataques específicos de la aplicación y tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.
Use Web Application Firewall (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger las aplicaciones que se ejecutan en Azure Functions frente a ataques de nivel de aplicación.
La introducción de un Web Application Firewall requiere un App Service Environment o el uso de puntos de conexión privados.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-6: simplificación de las reglas de seguridad de red
Guía:Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall configurados para los Azure Functions recursos. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.
La etiqueta de servicio "AppService" resume los intervalos IP del servicio y se puede usar en las reglas de salida.
La etiqueta de servicio "AppServiceManagement" resume el tráfico de administración de las implementaciones dedicadas a App Service Environment.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-7: servicio de nombres de dominio (DNS) seguro
Guía:siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como DNS desenlazándose, ataques de amplificaciones de DNS, ataques de ataques de suplantación y suplantación de DNS, etc.
Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.
Si la aplicación de función se ejecuta en un App Service Environment y la red virtual está configurada con un servidor DNS seleccionado por el cliente, las cargas de trabajo de la aplicación de función la usan. El servidor DNS debe ser accesible desde la subred que contiene el App Service Environment. El propio entorno sigue Azure DNS con fines de administración.
Guía de implementación del sistema de nombres de dominio (DNS) seguro
Evitar las entradas DNS pendientes y la adquisición de subdominios
Consideraciones de red para un entorno de App Service Environment
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de identidades
Para más información, consulte Azure Security Benchmark: Administración de identidades.
IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación
Guía:Azure Functions usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe estandarizar los Azure AD para regular la administración de identidades y acceso de su organización en:
- Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
- Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.
La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a evaluar la posición de seguridad de la identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.
Nota: Azure AD identidades externas que permiten a los usuarios sin una cuenta Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La identidad administrada debe usarse en la aplicación de API | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación de funciones | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación web | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
IM-2: Administración de identidades de aplicaciones de forma segura y automática
Guía:Azure Functions identidades administradas por Azure para cuentas no humanas, como servicios o automatización, y se recomienda usar la característica de identidad administrada de Azure en lugar de crear una cuenta humana más eficaz para acceder a los recursos o ejecutarlo. Azure Functions autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD a través de una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma automática en archivos de configuración o código fuente.
Azure Functions admite identidades administradas asignadas por el sistema y asignadas por el usuario. El código implementado por el cliente puede aprovechar las identidades administradas para solicitar tokens a otros recursos. Las identidades también se pueden usar para características de servicio, como la resolución de secretos de un almacén de claves o la extracción de imágenes de un registro de contenedor.
Servicios que admiten identidades administradas para recursos de Azure
Cómo usar identidades administradas para App Service y Azure Functions
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La identidad administrada debe usarse en la aplicación de API | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación de funciones | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación web | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones
Guía:Azure Functions usa Azure Active Directory para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye identidades empresariales, como empleados, así como identidades externas como asociados, proveedores y proveedores. Esto permite que el inicio de sesión único (SSO) administre y proteja el acceso a los datos y recursos de su organización tanto en el entorno local como en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
IM-5: Supervisión y alerta de anomalías de cuenta
Guía:Azure Functions integra con Azure Active Directory, que proporciona los siguientes orígenes de datos:
- Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
- Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría son los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
- Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
- Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.
Estos orígenes de datos se pueden integrar con Azure Monitor, Microsoft Sentinel o sistemas SIEM de terceros.
Microsoft Defender para la nube también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción.
Azure Advanced Threat Protection (AATP) es una solución de seguridad que puede usar señales de Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en riesgo y acciones internas malintencionadas.
Algunas operaciones expuestas por el tiempo de ejecución de la aplicación se pueden realizar mediante una clave administrativa. Esta clave se puede almacenar en Azure Key Vault y se puede volver a generar en cualquier momento.
Informes de actividad de auditoría en Azure Active Directory
Visualización de los inicios de sesión de riesgo de Azure AD
Procedimiento para identificar usuarios de Azure AD marcados por una actividad de riesgo
Supervisión de la actividad de identidad y acceso de los usuarios en Microsoft Defender para la nube
Alertas en el módulo de protección de inteligencia sobre amenazas de Microsoft Defender para la nube
Alertas en el módulo de protección de inteligencia sobre amenazas de Microsoft Defender para la nube
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
IM-7: Elimine la exposición de credenciales no intencionada
Guía:Azure Functions permite a los clientes implementar o ejecutar código, configuraciones o conservar datos potencialmente con identidades o secretos. Se recomienda implementar Credential Scanner para identificar las credenciales dentro del código, las configuraciones o los datos persistentes. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Por GitHub, puede usar la característica de examen de secretos nativos para identificar credenciales u otras formas de secretos dentro del código.
Azure Functions tiene una característica integrada para hacer referencia a secretos de Key Vault sin necesidad de cambios en el código.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Acceso con privilegios
Para más información, consulte Azure Security Benchmark: Acceso con privilegios.
PA-1: Protección y limitación de usuarios con privilegios elevados
Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.
Algunas operaciones administrativas de la aplicación se pueden realizar mediante una clave de administración. Esto debe administrarse en un repositorio seguro como Azure Key Vault.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa
Guía:Azure Functions el control de acceso basado en rol de Azure (RBAC de Azure) para aislar el acceso a sistemas críticos para la empresa mediante la restricción de las cuentas en las que se concede acceso con privilegios a las suscripciones y los grupos de administración en los que se encuentran.
Asegúrese de restringir también el acceso a los sistemas de administración, identidad y seguridad que tienen acceso administrativo a los controles de acceso críticos para la empresa, como controladores de Dominio de Active Directory (CONTROLADORES), herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.
Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa.
Las cuentas con permisos de implementación sobre una aplicación de función tienen acceso de depuración a ella y, por tanto, acceso a los sistemas o datos con los que funciona. Este permiso está implícito en los roles Colaborador y Propietario.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios
Guía:Azure Functions usa Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y las asignaciones de acceso periódicamente para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones Azure AD y de acceso para revisar la pertenencia a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.
Además, Azure AD PIM también se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador e identificar cuentas de administrador obsoletas o configuradas incorrectamente.
Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Guía:Las estaciones de trabajo protegidas y aisladas son fundamentalmente importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar la configuración segura, incluida la autenticación segura, las líneas base de software y hardware, y el acceso lógico y de red restringido.
Implementación de estaciones de trabajo de acceso con privilegios
Implementación de una estación de trabajo con privilegios de acceso
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)
Guía:Azure Functions integra con el control de acceso basado en rol de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.
Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.
La aplicación expone algunas operaciones que se pueden controlar con una clave administrativa. Controle el acceso a esta clave mediante Azure Key Vault.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft
Guía:en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, Azure Functions admite Caja de seguridad del cliente para proporcionar una interfaz para que revise y apruebe o rechace las solicitudes de acceso a los datos de los clientes.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Protección de datos
Para más información, consulte Azure Security Benchmark: protección de datos.
DP-2: Protección de datos confidenciales
Guía:Proteja los datos confidenciales mediante la restricción del acceso mediante el control de acceso basado en rol de Azure (RBAC de Azure), controles de acceso basados en red y controles específicos en los servicios de Azure (como el cifrado).
Para garantizar un control de acceso coherente, todos los tipos de control de acceso deben estar alineados con la estrategia de segmentación empresarial. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.
En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido del cliente como confidencial y protege contra la pérdida y exposición de los datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
DP-3: Supervisión de la transferencia no autorizada de datos confidenciales
Guía: Supervisión de la transferencia de datos no autorizada a ubicaciones que se encuentran fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada. Habilite Microsoft Defender para App Service para ayudar a alertar sobre una actividad anómala relacionada con su Azure Functions.
Azure Information Protection (AIP) proporciona funcionalidades de supervisión para la información que se ha clasificado y etiquetado.
Si es necesario para el cumplimiento de la prevención de la pérdida de datos (DLP por sus siglas en inglés), se puede usar una solución de DLP basada en host para aplicar controles de detección o prevención a fin de evitar la filtración de datos.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
DP-4: Cifrado de la información confidencial en tránsito
Guía:Para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques "fuera de banda" (como la captura de tráfico) mediante el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.
Azure Functions admite el cifrado de datos en tránsito con TLS v1.2 o superior.
Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar SSL, TLS, versiones y protocolos SSH obsoletos y cifrados débiles.
De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.
Las opciones de configuración están disponibles para usar una versión anterior de TLS si es necesario, pero de forma predeterminada TLS 1.2 es la versión mínima.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Acceso a API App solo a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled | 1.0.0 |
| Es necesario exigir FTPS en la aplicación de API | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Es necesario exigir FTPS en la aplicación de funciones | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Es necesario exigir FTPS en la aplicación web | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Acceso a Function App solo a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled | 1.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación de API | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación de funciones | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación web | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Acceso a la aplicación web solo a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled | 1.0.0 |
DP-5: Cifrado de datos confidenciales en reposo
Guía:Para complementar los controles de acceso, Azure Functions los datos en reposo para protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante el cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.
La cuenta de almacenamiento utilizada por Azure Functions puede configurarse con opciones de cifrado adicionales.
Los secretos usados para la configuración de la aplicación se pueden almacenar en Azure Key Vault opciones de cifrado adicionales.
Uso de referencias de Key Vault para App Service y Azure Functions
Claves administradas por el cliente para el cifrado de Azure Storage
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de recursos
Para más información, consulte Azure Security Benchmark: Administración de recursos.
AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos
Guía:Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.
En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.
Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos
Guía: Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-3: Uso exclusivo de servicios de Azure aprobados
Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso
Guía:Restrinja los permisos de implementación y use un sistema de CI/CD para implementar código en las aplicaciones de función.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
registro y detección de amenazas
Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.
LT-1: Habilitación de la detección de amenazas para recursos de Azure
Guía:Use la funcionalidad de detección de amenazas integrada de Microsoft Defender para la nube y habilite Microsoft Defender para los Azure Functions recursos. Microsoft Defender para Azure Functions proporciona una capa adicional de inteligencia de seguridad que detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos Azure Functions o aprovecharlos.
Reenvía los registros Azure Functions al SIEM, que se puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando diferentes tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
Protección contra amenazas en Microsoft Defender para la nube
Guía de referencia de alertas de seguridad de Microsoft Defender para la nube
Creación de reglas de análisis personalizadas para detectar amenazas
Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Guía:Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario, que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas siem/monitoring para casos de uso de supervisión y análisis más sofisticados:
- Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
- Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
- Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
- Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.
Microsoft Defender para la nube también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube también puede recopilar alertas de seguridad más detalladas de recursos de proceso individuales de Azure (máquinas virtuales, contenedores, app service), recursos de datos (base de datos y almacenamiento de SQL) y capas de servicio de Azure. Esta funcionalidad permite tener visibilidad sobre las anomalías de la cuenta dentro de recursos individuales.
Informes de actividad de auditoría en Azure Active Directory
Protección contra amenazas en Microsoft Defender para la nube
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-3: Habilitación del registro para las actividades de red de Azure
Guía: Habilite y recopile registros de recursos de grupos de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) para un análisis de seguridad que favorezca la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.
Asegúrese de recopilar registros de consultas de DNS para ayudar a correlacionar otros datos de red. Implemente una solución de terceros Azure Marketplace para el registro DNS según las necesidades de su organización.
Las aplicaciones de función configuradas con Application Ideas o Log Analytics podrán ver los recursos con los que la aplicación intenta interactuar.
Habilitación de los registros de flujo de grupos de seguridad de red
Soluciones de supervisión de redes de Azure en Azure Monitor
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-4: Habilitación del registro para recursos de Azure
Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) para los recursos de Azure Functions excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.
Habilite los registros de recursos de Azure para Azure Functions. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Información sobre la recopilación de datos de Microsoft Defender para la nube
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los registros de diagnóstico de App Services deben estar habilitados | Permite auditar la habilitación de registros de diagnóstico en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.0 |
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.
Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.
Además, habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros.
Muchas organizaciones deciden usar Microsoft Sentinel para los datos "frecuentes" que se usan con frecuencia y Azure Storage para los datos "fríos" que se usan con menos frecuencia.
Para las aplicaciones que se pueden ejecutar Azure Functions, reenvía todos los registros relacionados con la seguridad a SIEM para la administración centralizada.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-6: Configuración de la retención del almacenamiento de registros
Guía:Asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros de Azure Functions tienen el período de retención de registros establecido según las regulaciones de cumplimiento de su organización.
Configuración del período de retención del área de trabajo de Log Analytics
Almacenamiento de registros de recursos en una cuenta de Azure Storage
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-7: Uso de orígenes de sincronización de hora aprobados
Guía:Azure Functions no admite la configuración de sus propios orígenes de sincronización de hora.
Azure Functions servicio se basa en orígenes de sincronización de hora de Microsoft y no se expone a los clientes para la configuración.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
administración de posturas y vulnerabilidades
Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.
PV-1: establecimiento de configuraciones seguras para servicios de Azure
Guía:puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación, incluidas las plantillas de Azure Resources Manager, los controles rbAC de Azure y las directivas, en una única definición de plano técnico.
Microsoft Defender Azure Functions admite todos los planes de App Service.
Algunas opciones de seguridad Azure Functions existen como parte de los recursos de configuración secundarios de Azure Resource Manager y no se controlan mediante Azure Policy se aplican a las aplicaciones de función.
Trabajar con directivas de seguridad en Microsoft Defender para la nube
Tutorial: Creación y administración de directivas para aplicar el cumplimiento
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-2: sostenimiento de configuraciones seguras para servicios de Azure
Guía:Use Microsoft Defender para la nube para supervisar la línea base de configuración y aplicar mediante Azure Policy [deny] e [deploy if not exist] para aplicar la configuración segura en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.
Microsoft Defender Azure Functions admite todos los planes de App Service.
Algunas opciones de seguridad Azure Functions existen como parte de los recursos de configuración secundarios de Azure Resource Manager y no se controlan mediante Azure Policy se aplican a las aplicaciones de función.
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| CORS no debe permitir que todos los recursos accedan a la aplicación de API | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de API. Permita la interacción con API solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| CORS no debe permitir que todos los recursos obtengan acceso a las aplicaciones de funciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Recomendación de que CORS no permita que todos los recursos accedan a las aplicaciones web | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación web. Permita la interacción con la aplicación web solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Asegúrese de que la aplicación de API tenga la opción "Client Certificates (Incoming client certificates)" activada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. | Audit, Disabled | 1.0.0 |
| Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. | Audit, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. | Audit, Disabled | 1.0.1 |
| La depuración remota debe estar desactivada para las aplicaciones de API | La depuración remota requiere puertos de entrada que se abran en una aplicación de API. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| La depuración remota debe estar desactivada para las aplicaciones de funciones | La depuración remota requiere puertos de entrada que se abran en una instancia de aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| Recomendación de desactivación de la depuración remota para aplicaciones web | La depuración remota requiere puertos de entrada que se abran en una aplicación web. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
PV-3: establecimiento de configuraciones seguras para los recursos de proceso
Guía:Use Microsoft Defender para la nube y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas máquinas virtuales, contenedores y otros.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-4: sostenimiento de configuraciones seguras para los recursos de proceso
Guía:Use Microsoft Defender para la nube y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, como máquinas virtuales, contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizado o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo que requiere su organización. Use la página recomendaciones de Microsoft Defender para la nube para ver recomendaciones y corregir problemas.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas
Guía:Azure Functions permite a los clientes administrar las imágenes de contenedor que usan con el servicio. Use el control de acceso basado en rol (RBAC) de Azure para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes personalizadas. Almacene imágenes de contenedor en Azure Container Registry y use Azure RBAC para garantizar que solo los usuarios autorizados puedan tener acceso.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-6: Realización de evaluaciones de vulnerabilidad de software
Guía:Azure Functions contenedores en ejecución implementados a través de registros de contenedor.
Siga las recomendaciones de Microsoft Defender para la nube para realizar evaluaciones de vulnerabilidades en las imágenes de contenedor de Azure. Microsoft Defender para la nube tiene un analizador de vulnerabilidades integrado para imágenes de contenedor.
Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar administración de vulnerabilidades recomendaciones sugeridas por Microsoft Defender para la nube, puede pasar al portal de la solución seleccionada para ver los datos de análisis históricos.
Microsoft realiza administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Functions.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PV-7: corrección rápida y automática de vulnerabilidades de software
Guía:priorice el uso de un programa de puntuación de riesgo común (por ejemplo, Common Vulnerability Scoring System) o las clasificaciones de riesgo predeterminadas proporcionadas por la herramienta de análisis de terceros y, a continuación, adapte su entorno mediante el contexto para el que las aplicaciones presentan un riesgo de seguridad alto y cuáles requieren un tiempo de actividad alto.
Azure Functions permite a los usuarios implementar aplicaciones a través de imágenes personalizadas implementadas a través de registros de contenedor en su entorno.
Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.
Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.Web) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asegurarse de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de Java. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegúrese de que la versión de Java sea la más reciente, si se usa como parte de la aplicación de funciones | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegúrese de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegurarse de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de API, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.1.0 |
| Asegúrese de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones web, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.1.0 |
| Asegurarse de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones web, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
PV-8: realización de una simulaciones de ataques periódicas
Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.
siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
seguridad de los puntos de conexión
Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
Guía:Microsoft administra los componentes de plataforma subyacentes de Azure Functions. Azure Functions realiza comprobaciones de cumplimiento continuas para asegurarse de que la administración de amenazas las 24 horas protege la infraestructura y la plataforma frente a malware, denegación de servicio distribuida (DDoS), man in the middle (MITM) y otras amenazas. Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Functions). Sin embargo, no se ejecuta en el contenido.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
ES-2: Uso de software antimalware moderno administrado centralmente
Guía:Azure Functions mantiene y ejecuta antimalware para los recursos del sistema y el entorno de ejecución. Para imágenes de contenedor personalizadas o para el almacenamiento aprovechado por la aplicación, debe considerar la posibilidad de aprovechar una solución antimalware moderna administrada centralmente.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
Guía:Microsoft administra los componentes de plataforma subyacentes de Azure Functions. Azure Functions realiza comprobaciones de cumplimiento continuas para asegurarse de que la administración de amenazas las 24 horas protege la infraestructura y la plataforma frente a malware, denegación de servicio distribuida (DDoS), man in the middle (MITM) y otras amenazas. Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Functions). Sin embargo, no se ejecuta en el contenido.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
Copia de seguridad y recuperación
Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.
BR-4: Mitigación del riesgo de pérdida de claves
Guía:Asegúrese de que tiene medidas para evitar y recuperarse de la pérdida de claves. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Pasos siguientes
- Consulte la Información general sobre Azure Security Benchmark V2.
- Obtenga más información sobre las líneas de base de seguridad de Azure.