Base de referencia de seguridad de Azure para Azure Functions

Esta línea base de seguridad aplica las instrucciones descritas en Azure Security Benchmark, versión 2.0, a Azure Functions. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Functions.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Functions y aquellos para los que se recomienda la guía global al pie de la letra. Para ver la asignación completa de Azure Functions a Azure Security Benchmark, consulte el archivo de la asignación completa de la línea base de seguridad de Azure Functions.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Cuando implemente recursos de Azure Functions, use una red virtual que ya exista o cree una nueva. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación de la empresa que se adapte a los riesgos empresariales. Todos los sistemas que podrían suponer un riesgo mayor para la organización deben aislarse en su propia red virtual y estar lo suficientemente protegidos con un grupo de seguridad de red (NSG) o Azure Firewall.

Use la protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de grupos de seguridad de red que limiten los puertos y las direcciones IP de origen en función de reglas de tráfico de redes externas.

Azure Functions tiene dos formas principales de implementar recursos en un contexto de red. Se puede crear una aplicación de funciones en el plan Elástico prémium con puntos de conexión de servicio o puntos de conexión privados para la integración de redes virtuales de solicitudes entrantes con tunelización forzada para las solicitudes salientes. Una aplicación de funciones también se puede implementar completamente dentro de una red virtual ejecutándola en un entorno de App Service Environment. Cuando se trabaja en estos modos, sigue siendo necesario establecer reglas y restricciones de red para dependencias, como la cuenta de almacenamiento que usa Functions, además de cualquier evento u origen de datos.

Use Microsoft Sentinel para detectar el uso de protocolos heredados poco seguros, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin firmar y cifrados débiles de Kerberos.

Las aplicaciones de funciones se crean de forma predeterminada para admitir TLS 1.2 como versión mínima, pero una aplicación se puede configurar con una versión inferior. No se requiere HTTPS para las solicitudes entrantes de forma predeterminada, pero también se puede establecer en la configuración, de modo que cualquier solicitud HTTP se redirigirá automáticamente para usar HTTPS.

Algunos de los orígenes de eventos que consume una aplicación pueden requerir la apertura de puertos adicionales hacia o desde la red, pero no es necesario con la configuración predeterminada.

Las aplicaciones de funciones se pueden configurar con restricciones de direcciones IP para las solicitudes entrantes. Estas restricciones se establecen por medio de una lista de prioridad de reglas para permitir o denegar el acceso de bloques IP, subredes de red virtual o etiquetas de servicio.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Use Azure Private Link para habilitar el acceso privado a Azure Functions desde sus redes virtuales sin usar Internet.

El acceso privado es una medida de defensa en profundidad adicional a la seguridad del tráfico y la autenticación que ofrecen los servicios de Azure.

Al crear una conexión de punto de conexión privado entrante para las funciones, también necesitará un registro DNS para resolver la dirección privada. De manera predeterminada, se creará automáticamente un registro DNS privado al crear un punto de conexión privado mediante Azure Portal.

Cuando no pueda usar puntos de conexión privados, use puntos de conexión de servicio de Azure Virtual Network para proporcionar acceso seguro a Azure Functions mediante una ruta optimizada a través de la red troncal de Azure sin usar Internet. Los puntos de conexión de servicio se pueden habilitar a nivel de aplicación y de subred para Azure Functions.

No puede usar puntos de conexión de servicio para restringir el acceso a las aplicaciones que se ejecutan en un entorno App Service Environment. Si la aplicación está en un entorno App Service Environment, puede controlar el acceso a ella con reglas de acceso de IP.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Proteja los recursos de Azure Functions de ataques de redes externas, incluidos los ataques de denegación de servicio distribuidos (DDoS), los ataques específicos de la aplicación y el tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de una configuración incorrecta en los recursos relacionados con la red.

Use la funcionalidad de Web Application Firewall (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger las aplicaciones que se ejecutan en Azure Functions frente a ataques a nivel de aplicación.

Para incorporar un firewall de aplicaciones web, se requiere un entorno de App Service Environment o el uso de puntos de conexión privados.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para los recursos de Azure Functions. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

La etiqueta de servicio "AppService" resume los intervalos IP del servicio y se puede usar en las reglas de salida.

La etiqueta de servicio "AppServiceManagement" resume el tráfico de administración de las implementaciones dedicadas a App Service Environment.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: siga los procedimientos recomendados de la seguridad de DNS con el fin de mitigar los ataques comunes, como el DNS pendiente, los ataques de amplificación de DNS, "poisoning" y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

Si la aplicación de funciones se ejecuta en un entorno de App Service Environment y la red virtual está configurada con un servidor DNS seleccionado por el cliente, las cargas de trabajo de la aplicación de funciones lo utilizan. El servidor DNS debe ser accesible desde la subred que contiene el entorno de App Service Environment. El entorno en sí sigue utilizando Azure DNS con fines de administración.

Responsabilidad: Compartido

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Functions usa Azure Active Directory (Azure AD) como servicio de administración de identidad y acceso predeterminado de Azure. Debe estandarizar Azure AD para controlar la administración de identidad y acceso de su organización en:

  • Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de identidad relativa a los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permitan a los usuarios que no tienen una cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La identidad administrada debe usarse en la aplicación de API Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0
La identidad administrada debe usarse en la aplicación de funciones Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0
La identidad administrada debe usarse en la aplicación web Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Azure Functions usa identidades administradas de Azure para las cuentas no humanas, como las de servicios o automatización. Asimismo, se recomienda usar la característica de identidades administradas de Azure en lugar de crear una cuenta humana más eficaz para acceder a los recursos o ejecutarlos. Azure Functions puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD, mediante una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma rígida en el código fuente ni en los archivos de configuración.

Azure Functions admite identidades administradas asignadas por el sistema y por el usuario. El código implementado por el cliente puede aprovechar las identidades administradas para solicitar tokens a otros recursos. Las identidades se pueden usar también para características de servicios, como la resolución de secretos de un almacén de claves o la extracción de imágenes de un registro de contenedor.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La identidad administrada debe usarse en la aplicación de API Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0
La identidad administrada debe usarse en la aplicación de funciones Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0
La identidad administrada debe usarse en la aplicación web Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 2.0.0

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Azure Functions usa Azure Active Directory para proporcionar administración de identidad y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye no solo las identidades empresariales, como los empleados, sino también las identidades externas, como los asociados y proveedores. Esto habilita el inicio de sesión único para administrar y proteger el acceso a los datos y recursos de su organización locales y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.

Responsabilidad: Customer

IM-5: Supervisión y alerta de anomalías de cuenta

Guía: Azure Functions está integrado con Azure Active Directory, lo que proporciona los siguientes orígenes de datos:

  • Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría son los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Estos orígenes de datos se pueden integrar con Azure Monitor, Microsoft Sentinel o sistemas SIEM de terceros.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción.

Azure Advanced Threat Protection (AATP) es una solución de seguridad que puede usar señales de Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en riesgo y acciones internas malintencionadas.

Algunas operaciones expuestas por el entorno de ejecución de aplicaciones se pueden realizar usando una clave administrativa. Esta clave se puede almacenar en Azure Key Vault y se puede volver a generar en cualquier momento.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Azure Functions permite a los clientes implementar y ejecutar código o configuraciones, así como conservar datos que puedan contener identidades o secretos. Se recomienda implementar Credential Scanner para identificar credenciales en código, configuraciones o datos persistentes. Credential Scanner también recomienda trasladar las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, puede usar la característica nativa de detección de secretos para identificar credenciales u otro tipo de secretos en el código.

Azure Functions tiene una característica integrada para hacer referencia a secretos de Key Vault sin necesidad de realizar cambios en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.

Algunas operaciones administrativas de la aplicación se pueden realizar usando una clave de administración, que debe controlarse en un repositorio seguro, como Azure Key Vault.

Responsabilidad: Customer

PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa

Guía: Azure Functions usa el control de acceso basado en rol (RBAC) de Azure para aislar el acceso a los sistemas críticos para la empresa restringiendo las cuentas a las que se concede acceso con privilegios a las suscripciones y los grupos de administración en los que están.

Asegúrese de restringir también el acceso a los sistemas de administración, identidad y seguridad que tienen acceso administrativo a los controles de acceso críticos para la empresa, como los controladores de dominio (DC) de Active Directory, las herramientas de seguridad y las herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.

Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa.

Las cuentas con permisos de implementación para una aplicación de funciones tienen acceso de depuración a ella y, por tanto, acceso a los sistemas o datos con los que funciona. Este permiso está implícito en los roles Colaborador y Propietario.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure Functions usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y las asignaciones de acceso periódicamente para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones de acceso de Azure AD para revisar la pertenencia a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Asimismo, puede configurar Azure AD PIM para enviar una alerta cuando se cree un número excesivo de cuentas de administrador y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Functions está integrado con el control de acceso basado en rol (RBAC) de Azure para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

La aplicación expone algunas operaciones que se pueden controlar con una clave administrativa. Controle el acceso a esta clave con Azure Key Vault.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, Azure Functions admite el uso de la Caja de seguridad del cliente para proporcionar una interfaz en la que pueda revisar y aprobar o rechazar las solicitudes de acceso a los datos del cliente.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales mediante la restricción del acceso con el control de acceso basado en roles de Azure (Azure RBAC), los controles de acceso basados en la red y los controles específicos de los servicios de Azure (como el cifrado).

Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial y protege a los clientes contra la pérdida y exposición de los datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.

Responsabilidad: Customer

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: Supervisión de la transferencia de datos no autorizada a ubicaciones que se encuentran fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada. Habilite Microsoft Defender para App Service como ayuda para alertar sobre una actividad anómala relacionada con sus funciones de Azure Functions.

Azure Information Protection (AIP) proporciona funcionalidad de supervisión para la información que se ha clasificado y etiquetado.

Si es necesario para el cumplimiento de la prevención de la pérdida de datos (DLP por sus siglas en inglés), se puede usar una solución de DLP basada en host para aplicar controles de detección o prevención a fin de evitar la filtración de datos.

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar los controles de acceso, deben protegerse los datos en tránsito frente a ataques "fuera de banda" (por ejemplo, la captura de tráfico) usando cifrado para que los atacantes no puedan leer ni modificar los datos fácilmente.

Azure Functions admite el cifrado de datos en tránsito con TLS v1.2 o una versión posterior.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Hay opciones de configuración disponibles para usar una versión anterior de TLS si es necesario, pero TLS 1.2 es la versión mínima de forma predeterminada.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Acceso a API App solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled 1.0.0
Es necesario exigir FTPS en la aplicación de API Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 2.0.0
Es necesario exigir FTPS en la aplicación de funciones Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 2.0.0
Es necesario exigir FTPS en la aplicación web Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 2.0.0
Acceso a Function App solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled 1.0.0
Debe usarse la versión más reciente de TLS en la aplicación de API Actualiza a la versión más reciente de TLS. AuditIfNotExists, Disabled 1.0.0
Debe usarse la versión más reciente de TLS en la aplicación de funciones Actualiza a la versión más reciente de TLS. AuditIfNotExists, Disabled 1.0.0
Debe usarse la versión más reciente de TLS en la aplicación web Actualiza a la versión más reciente de TLS. AuditIfNotExists, Disabled 1.0.0
Acceso a la aplicación web solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled 1.0.0

DP-5: Cifrado de datos confidenciales en reposo

Guía: Para complementar los controles de acceso, Azure Functions cifra los datos en reposo con el fin de protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente). Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

La cuenta de almacenamiento que usa Azure Functions puede configurarse con opciones de cifrado adicional.

Los secretos usados para la configuración de la aplicación se pueden almacenar en Azure Key Vault para las opciones de cifrado adicional.

Responsabilidad: Compartido

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: Restrinja los permisos de implementación y use un sistema de CI/CD para implementar el código en las aplicaciones de funciones.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Use la funcionalidad integrada de detección de amenazas de Microsoft Defender for Cloud y habilite Microsoft Defender para los recursos de Azure Functions. Microsoft Defender para Azure Functions proporciona una capa adicional de inteligencia de seguridad que detecta intentos inusuales de acceder a los recursos de Azure Functions o de aprovecharlos con fines potencialmente malintencionados.

Reenvíe los registros de Azure Functions a su sistema SIEM y úselos para configurar una detección de amenazas personalizada. Asegúrese de supervisar distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión/SIEM para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta capacidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Habilite y recopile registros de recursos de grupos de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) para un análisis de seguridad que favorezca la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.

Asegúrese de recopilar registros de consultas de DNS para ayudar a correlacionar otros datos de red. Implemente una solución de terceros de Azure Marketplace para el registro de DNS según las necesidades de su organización.

Las aplicaciones de funciones configuradas con Application Insights o Log Analytics pueden ver los recursos con los que la aplicación intenta interactuar.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Azure Functions, pero no las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Azure Functions. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y la realización de ejercicios forenses.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los registros de diagnóstico de App Services deben estar habilitados Permite auditar la habilitación de registros de diagnóstico en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 2.0.0

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.

Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Además, habilite e incorpore datos a Microsoft Sentinel o a un sistema SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso frecuente, y Azure Storage para los datos de acceso esporádico.

Para las aplicaciones que se pueden ejecutar en Azure Functions, reenvíe todos los registros relacionados con la seguridad a su sistema SIEM para una administración centralizada.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de Azure Functions tengan configurado el período de retención de registros según la normativa de cumplimiento de la organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Functions no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio Azure Functions se basa en los orígenes de sincronización de hora de Microsoft y esto no se expone a los clientes para configurarlo.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicaciones, como las plantillas de Azure Resource Manager, los controles de RBAC de Azure y las directivas, en una única definición de plano técnico.

Microsoft Defender para App Service admite todos los planes de Azure Functions excepto el plan Consumo.

Algunas opciones de seguridad de Azure Functions existen como parte de recursos de configuración secundarios de Azure Resource Manager y no se controlan con Azure Policy aplicado a las aplicaciones de funciones.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Use Microsoft Defender for Cloud para supervisar la línea base de configuración e imponer el uso de las definiciones [deny] y [deploy if not exists] de Azure Policy para aplicar una configuración segura a todos los recursos de proceso de Azure, como las máquinas virtuales, los contenedores, etc.

Microsoft Defender para App Service admite todos los planes de Azure Functions excepto el plan Consumo.

Algunas opciones de seguridad de Azure Functions existen como parte de recursos de configuración secundarios de Azure Resource Manager y no se controlan con Azure Policy aplicado a las aplicaciones de funciones.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
CORS no debe permitir que todos los recursos accedan a la aplicación de API El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de API. Permita la interacción con API solo de los dominios requeridos. AuditIfNotExists, Disabled 1.0.0
CORS no debe permitir que todos los recursos obtengan acceso a las aplicaciones de funciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 1.0.0
Recomendación de que CORS no permita que todos los recursos accedan a las aplicaciones web El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación web. Permita la interacción con la aplicación web solo de los dominios requeridos. AuditIfNotExists, Disabled 1.0.0
Asegúrese de que la aplicación de API tenga la opción "Client Certificates (Incoming client certificates)" activada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Audit, Disabled 1.0.0
Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Audit, Disabled 1.0.0
Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Audit, Disabled 1.0.1
La depuración remota debe estar desactivada para las aplicaciones de API La depuración remota requiere puertos de entrada que se abran en una aplicación de API. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 1.0.0
La depuración remota debe estar desactivada para las aplicaciones de funciones La depuración remota requiere puertos de entrada que se abran en una instancia de aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 1.0.0
Recomendación de desactivación de la depuración remota para aplicaciones web La depuración remota requiere puertos de entrada que se abran en una aplicación web. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 1.0.0

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, como las máquinas virtuales, los contenedores, etc.

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, como las máquinas virtuales, los contenedores, etc. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizado o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo que requiere su organización. Use la página de recomendaciones de Microsoft Defender for Cloud para ver recomendaciones y corregir problemas.

Responsabilidad: Compartido

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía: Azure Functions permite a los clientes administrar las imágenes de contenedor que usan con el servicio. Use el control de acceso basado en rol (RBAC) de Azure para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas. Almacene imágenes de contenedor en Azure Container Registry y use Azure RBAC para garantizar que solo los usuarios autorizados puedan tener acceso.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Azure Functions permite ejecutar contenedores implementados a través de registros de contenedor.

Siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidad en las imágenes de contenedor de Azure. Microsoft Defender for Cloud tiene un detector de vulnerabilidades integrado para imágenes de contenedor.

Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar las recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede ir al portal de la solución seleccionada para ver los datos de análisis históricos.

Microsoft administra las vulnerabilidades en los sistemas subyacentes que sustentan Azure Functions.

Responsabilidad: Compartido

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Dé prioridad al uso de un programa común de puntuación del riesgo (por ejemplo, Common Vulnerability Scoring System) o de las clasificaciones de riesgo predeterminadas que proporcione su herramienta de análisis de terceros y, después, adapte su entorno con contexto para saber qué aplicaciones presentan un elevado riesgo de seguridad y cuáles requieren un tiempo de actividad alto.

Azure Functions permite a los usuarios implementar aplicaciones a través de imágenes personalizadas implementadas por medio de registros de contenedor en su entorno.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asegurarse de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación de API A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de Java. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 2.0.0
Asegúrese de que la versión de Java sea la más reciente, si se usa como parte de la aplicación de funciones A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 2.0.0
Asegúrese de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación web A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 2.0.0
Asegurarse de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación de API A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de API, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 2.1.0
Asegúrese de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación web A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones web, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 2.1.0
Asegurarse de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de API A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 3.0.0
Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 3.0.0
Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación web A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones web, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 3.0.0

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía: Microsoft administra los componentes de la plataforma subyacentes de Azure Functions. Azure Functions realiza comprobaciones continuas del cumplimiento normativo para garantizar que la administración de amenazas ininterrumpida protege la infraestructura y la plataforma frente a malware, ataques de denegación de servicio distribuidos (DDoS) y de tipo "man in the middle" (MITM) y otras amenazas. Microsoft Antimalware está habilitado en el host subyacente que sustenta los servicios de Azure (por ejemplo, Azure Functions). Sin embargo, no se ejecuta en el contenido.

Responsabilidad: Microsoft

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Azure Functions mantiene y ejecuta software antimalware para los recursos del sistema y el entorno de ejecución. Para las imágenes de contenedor personalizadas o el almacenamiento que usa la aplicación, debe considerar la posibilidad de aprovechar una solución antimalware moderna administrada de forma centralizada.

Responsabilidad: Compartido

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Microsoft administra los componentes de la plataforma subyacentes de Azure Functions. Azure Functions realiza comprobaciones continuas del cumplimiento normativo para garantizar que la administración de amenazas ininterrumpida protege la infraestructura y la plataforma frente a malware, ataques de denegación de servicio distribuidos (DDoS) y de tipo "man in the middle" (MITM) y otras amenazas. Microsoft Antimalware está habilitado en el host subyacente que sustenta los servicios de Azure (por ejemplo, Azure Functions). Sin embargo, no se ejecuta en el contenido.

Responsabilidad: Microsoft

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

Responsabilidad: Customer

Pasos siguientes