Línea de base de seguridad de Azure para Azure Lighthouse

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Lighthouse. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure Lighthouse.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Lighthouse y aquellos para los que se recomienda la guía global al pie de la letra. Para ver la asignación completa de Azure Lighthouse a Azure Security Benchmark, consulte el archivo de la asignación completa de la línea base de seguridad de Azure Lighthouse.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: No aplicable. Azure Lighthouse no expone sus configuraciones de DNS subyacentes, sino que las mantiene Microsoft.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Lighthouse usa Azure Active Directory (Azure AD) como un servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

Con Azure Lighthouse, los usuarios designados de un inquilino de administración tienen un rol integrado de Azure que les permite acceder a suscripciones o grupos de recursos delegados en el inquilino de un cliente. Actualmente se admiten todos los roles integrados, excepto el rol de Propietario y los roles integrados con el permiso DataActions. El rol administrador de acceso de usuario solo se admite para uso limitado en la asignación de roles a identidades administradas. No se admiten los roles personalizados ni los roles de administrador de suscripciones clásicas.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Las identidades administradas de Azure pueden autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La autenticación se habilita mediante reglas de concesión de acceso predefinidas que permiten evitar las credenciales codificadas de forma rígida en los archivos de código fuente o de configuración. Con Azure Lighthouse, los usuarios con el rol Administrador de acceso de usuario en la suscripción de un cliente pueden crear una identidad administrada en el inquilino de ese cliente. Aunque por lo general este rol no se admite con Azure Lighthouse, se puede usar en este escenario concreto, lo que permite a los usuarios con este permiso asignar uno o varios roles integrados específicos a identidades administradas.

En el caso de los servicios que no admiten identidades administradas, use Azure AD para crear entidades de servicio con permisos restringidos en el nivel de recurso. Azure Lighthouse permite que las entidades de servicio accedan a los recursos del cliente según los roles que se les conceden durante el proceso de incorporación. Se recomienda configurar entidades de servicio con credenciales de certificado y revertir a secretos de cliente. En ambos casos, Azure Key Vault se puede usar junto con las identidades administradas de Azure, de modo que el entorno en tiempo de ejecución (por ejemplo, una función de Azure) pueda recuperar la credencial del almacén de claves.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Limite el número de cuentas de usuario con privilegios elevados y proteja dichas cuentas en un nivel elevado. No es necesaria una cuenta de Administrador global para habilitar y usar Azure Lighthouse.

Para acceder a los datos del registro de actividad en el nivel del inquilino, se tiene que asignar a una cuenta el rol integrado de Azure Lector de supervisión en el ámbito raíz (/). Como el rol Lector de supervisión en el ámbito raíz se trata de un amplio nivel de acceso, se recomienda que asigne este rol a una cuenta de entidad de servicio en lugar de a un usuario individual o a un grupo. Esta asignación la debe realizar un usuario que tenga el rol Administrador global con privilegios de acceso elevados adicionales. Este acceso con privilegios elevados se debe agregar inmediatamente antes de realizar la asignación de roles y luego se debe quitar al completar la asignación.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure Lighthouse usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y obtener acceso a la asignación con regularidad para asegurarse de que las cuentas y el acceso sean válidos. Puede usar las revisiones de acceso de Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Los clientes pueden revisar el nivel de acceso que se concede a los usuarios en el inquilino de administración a través de Azure Lighthouse en Azure Portal. Pueden quitar este acceso en cualquier momento.

Además, se puede configurar Azure Privileged Identity Management para enviar una alerta cuando se cree un número de cuentas de administrador excesivo y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Tenga en cuenta que algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son de una importancia vital para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. En función de sus requisitos, puede usar estaciones de trabajo de usuario de alta seguridad o Azure Bastion para realizar tareas de administración administrativas con Azure Lighthouse en entornos de producción. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Lighthouse se integra en el control de acceso basado en roles de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles integrados a usuarios, grupos, entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure Active Directory (Azure AD) Privileged Identity Management (PIM) y se debe revisar periódicamente. Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Azure Lighthouse permite el acceso a los recursos delegados de cliente mediante los roles integrados de Azure. En la mayoría de los casos, querrá asignar estos roles a un grupo o a una entidad de servicio, en lugar de a muchas cuentas de usuario individuales. Esto le permite agregar o quitar el acceso de usuarios individuales sin tener que actualizar y volver a publicar el plan cuando cambien los requisitos de acceso.

Para delegar los recursos de cliente a un inquilino de administración, se debe hacer una implementación desde una cuenta que no sea de invitado en el inquilino del cliente que tenga el rol integrado Propietario para la suscripción que se va a incorporar (o que contiene los grupos de recursos que se están incorporando).

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: los equipos de seguridad de los clientes pueden revisar los registros de actividad para ver las actividades realizadas por los proveedores de servicios que usan Azure Lighthouse.

Si un proveedor de servicios quiere permitir que su equipo de seguridad revise los recursos delegados de cliente, las autorizaciones del equipo de seguridad deben incluir el rol integrado Lector.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: a través de Azure Lighthouse, puede supervisar los recursos de Azure de sus clientes para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Use la funcionalidad integrada de detección de amenazas de Microsoft Defender for Cloud, que se basa en la supervisión de los datos de telemetría de los servicios de Azure y en el análisis de los registros de los servicios. Los datos se recopilan con el agente de Log Analytics, que lee distintas configuraciones relacionadas con la seguridad y diversos registros de eventos del sistema y copia los datos en el área de trabajo para analizarlos.

Además, use Microsoft Sentinel para crear reglas de análisis, que buscan amenazas que cumplen criterios específicos en el entorno del cliente. Las reglas generan incidentes cuando los criterios coinciden, por lo que puede investigar cada incidente. Microsoft Sentinel también puede importar inteligencia de terceros sobre amenazas para mejorar su capacidad de detección de amenazas.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: A través de Azure Lighthouse, puede usar Microsoft Defender for Cloud para alertar sobre determinadas actividades sospechosas en los inquilinos de clientes que administra, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción.

Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o se pueden integrar con Azure Monitor, Microsoft Sentinel u otras herramientas SIEM o de supervisión para casos de uso de supervisión y análisis más sofisticados:

  • Inicio de sesión: el informe de inicio de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión del usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede alertar sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica para la protección de la seguridad, el módulo de protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos de proceso de Azure concretos (máquinas virtuales, contenedores, App Service), recursos de datos (bases de datos SQL y almacenamiento) y capas de servicios de Azure. Esta funcionalidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) de los recursos de Azure Lighthouse, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Con Azure Lighthouse, puede usar los registros de Azure Monitor de forma escalable en los inquilinos del cliente que está administrando. Cree áreas de trabajo de Log Analytics directamente en los inquilinos del cliente para que los datos del cliente permanezcan en sus inquilinos en lugar de exportarse a los suyos. Esto también permite la supervisión centralizada de los recursos o servicios que admite Log Analytics, lo que le proporciona más flexibilidad respecto a los tipos de datos que supervisa.

Los clientes que tengan suscripciones delegadas para Azure Lighthouse pueden visualizar los datos del registro de actividad de Azure para ver todas las acciones realizadas. Esto proporciona a los clientes una visibilidad completa de las operaciones que los proveedores de servicios realizan, junto con las operaciones hechas por los usuarios en el propio inquilino de Azure Active Directory (Azure AD) del cliente.

Responsabilidad: Compartido

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que, para cada origen de registro, asigna un propietario de datos, una guía de acceso y una ubicación de almacenamiento; que determinar qué herramientas se usan para procesar y acceder a los datos, y los requisitos de retención de datos.

Asegúrese también de que integra los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Además, habilite e incorpore datos a Microsoft Sentinel o a un sistema SIEM de terceros.

Con Azure Lighthouse, puede usar los registros de Azure Monitor de forma escalable en los inquilinos del cliente que está administrando. Cree áreas de trabajo de Log Analytics directamente en los inquilinos del cliente para que los datos del cliente permanezcan en sus inquilinos en lugar de exportarse a los suyos. Esto también permite la supervisión centralizada de los recursos o servicios que admite Log Analytics, lo que le proporciona más flexibilidad respecto a los tipos de datos que supervisa.

Los clientes que tengan suscripciones delegadas para Azure Lighthouse pueden visualizar los datos del registro de actividad de Azure para ver todas las acciones realizadas. Esto proporciona a los clientes una visibilidad completa de las operaciones que los proveedores de servicios realizan, junto con las operaciones hechas por los usuarios en el propio inquilino de Azure Active Directory (Azure AD) del cliente.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso frecuente, y Azure Storage para los datos de acceso esporádico.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Azure Lighthouse actualmente no genera ningún registro relacionado con la seguridad. Los clientes que quieran ver la actividad del proveedor de servicios pueden configurar la retención de registros según los requisitos empresariales, de cumplimiento y de regulación.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Lighthouse no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Azure Lighthouse se basa en los orígenes de sincronización de hora de Microsoft y esto no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Azure Lighthouse admite las directivas específicas del servicio que se indican a continuación, que están disponibles en Microsoft Defender for Cloud para auditar y aplicar la configuración de los recursos de Azure. Se pueden configurar en Microsoft Defender for Cloud o con iniciativas de Azure Policy.

  • Permitir administrar los identificadores de inquilino que se incorporarán mediante Azure Lighthouse.

  • Auditar la delegación de ámbitos a un inquilino de administración.

Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicaciones, incluidas las plantillas de Resource Manager, los controles de RBAC de Azure y las directivas, en una única definición de plano técnico.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Azure Lighthouse admite las directivas específicas del servicio que se indican a continuación, que están disponibles en Microsoft Defender for Cloud para auditar y aplicar la configuración de los recursos de Azure. Se pueden configurar en Microsoft Defender for Cloud o con iniciativas de Azure Policy.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, como las máquinas virtuales, los contenedores, etc.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Microsoft administra las vulnerabilidades en los sistemas subyacentes que sustentan Azure Lighthouse.

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos. siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía: Azure Lighthouse no implementa ningún recurso de proceso orientado al cliente que requiera protección de detección y respuesta de puntos de conexión (EDR). Microsoft controla la infraestructura subyacente del servicio Azure Lighthouse.

Responsabilidad: Microsoft

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Azure Lighthouse no implementa ningún recurso de proceso orientado al cliente que se pueda configurar con una solución antimalware. Microsoft controla la infraestructura subyacente del servicio de Azure Lighthouse, que incluye la administración de cualquier software antimalware instalado.

Responsabilidad: Microsoft

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Azure Lighthouse no implementa ningún recurso de proceso orientado al cliente que se pueda configurar con una solución antimalware. Microsoft controla la infraestructura subyacente del servicio de Azure Lighthouse, que incluye la administración de cualquier software antimalware instalado.

Responsabilidad: Microsoft

Pasos siguientes