Línea de base de seguridad de Azure para Azure Database for MariaDB

Esta línea de base de seguridad aplica las instrucciones de la versión 1.0 de Azure Security Benchmark a Azure Database for MariaDB. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y la guía relacionada aplicable a Azure Database for MariaDB.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Configuración de Private Link para Azure Database for MariaDB con puntos de conexión privados. Private Link permite conectarse a varios servicios PaaS en Azure mediante un punto de conexión privado. En esencia, Azure Private Link incorpora los servicios de Azure dentro de su red virtual privada (VNet). El tráfico entre la red virtual y la instancia de MariaDB viaja por la red troncal de Microsoft.

Como alternativa, puede usar puntos de conexión de servicio de red virtual para proteger y limitar el acceso de red a las implementaciones de Azure Database for MariaDB. Las reglas de red virtual son una característica de seguridad de firewall que controla si la instancia de Azure Database for MariaDB acepta las comunicaciones que se envían desde subredes específicas en redes virtuales.

También puede proteger su instancia de Azure Database for MariaDB con reglas de firewall. El firewall de servidor impide todo acceso al servidor de bases de datos, excepto a aquellos equipos a los que haya concedido permiso. Para configurar su firewall, cree reglas de firewall que especifiquen intervalos de direcciones IP aceptables. Puede crear reglas de firewall a nivel de servidor.

• Configuración de Private Link para Azure Database for MariaDB

• Creación y administración de reglas y puntos de conexión de servicio de red virtual en el servidor de Azure Database for MariaDB

• Configuración de reglas de firewall para Azure Database for MariaDB

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforMariaDB:

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Cuando el servidor de Azure Database for MariaDB está protegido en un punto de conexión privado, puede implementar máquinas virtuales en la misma red virtual. Puede usar un grupo de seguridad de red (NSG) para reducir el riesgo de la filtración de datos. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

• Configuración de Private Link para Azure Database for MariaDB

• Habilitación de los registros de flujo de NSG

• Habilitación y uso del Análisis de tráfico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Uso de Advanced Threat Protection para Azure Database for MariaDB. Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas.

Habilite el estándar de DDoS Protection en las redes virtuales asociadas a las instancias de Azure Database for MariaDB a fin de protegerse de los ataques DDoS. Use Microsoft Defender para Cloud Integrated Threat Intelligence para denegar las comunicaciones con direcciones IP de Internet malintencionadas o no utilizadas conocidas.

• Configuración de Advanced Threat Protection para Azure Database for MariaDB

• Configuración de la protección contra DDoS

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: Cuando el servidor de Azure Database for MariaDB está protegido en un punto de conexión privado, puede implementar máquinas virtuales en la misma red virtual. A continuación, puede configurar un grupo de seguridad de red (NSG) para reducir el riesgo de la filtración de datos. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

• Habilitación de los registros de flujo de NSG

• Habilitación y uso del Análisis de tráfico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Guía: Uso de Advanced Threat Protection para Azure Database for MariaDB. Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas.

• Configuración de Advanced Threat Protection para Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: En el caso de los recursos que necesitan acceso a las instancias de Azure Database for MariaDB, use las etiquetas de servicio de red virtual con el fin de definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, SQL.WestUs) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Azure Database for MariaDB usa la etiqueta de servicio "Microsoft.Sql".

• Más información sobre el uso de etiquetas de servicio

• Descripción del uso de etiquetas de servicio para Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Instrucciones: Defina e implemente configuraciones de seguridad estándar para los recursos y la configuración de red asociados a las instancias de Azure Database for MariaDB con Azure Policy. Use alias de Azure Policy en los espacios de nombres "Microsoft.DBforMariaDB" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las instancias de Azure Database for MariaDB. También puede usar las definiciones de directiva integradas relacionadas con las redes o las instancias de Azure Database for MariaDB, como:

• Se debe habilitar DDoS Protection estándar

• El punto de conexión privado debe estar habilitado para servidores MariaDB

• El servidor MariaDB debe usar un punto de conexión del servicio de red virtual

Documentación de referencia:

• Configuración y administración de Azure Policy

• Ejemplos de Azure Policy para redes

• Creación de un plano técnico de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: Use etiquetas para los recursos relacionados con la seguridad de red y el flujo de tráfico de las instancias de MariaDB para proporcionar metadatos y organización lógica.

Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se crean con etiquetas y para notificarle los recursos no etiquetados existentes.

Puede usar Azure PowerShell o la CLI de Azure para buscar o realizar acciones en los recursos en función de sus etiquetas.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en dichos recursos relacionados con las instancias de Azure Database for MariaDB. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

• Visualización y recuperación de eventos del registro de actividad de Azure

• Creación de alertas en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Guía: Habilite la configuración de diagnóstico y los registros de servidor y de ingesta para agregar los datos de seguridad generados por las instancias de Azure Database for MariaDB. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

• Configuración y acceso a los registros de servidor de Azure Database for MariaDB

• Configuración y acceso a los registros de auditoría de Azure Database for MariaDB

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Instrucciones: Habilite Configuración de diagnóstico en las instancias de Azure Database for MariaDB para poder acceder a los registros de auditoría, seguridad y diagnóstico. Asegúrese de habilitar específicamente el registro de auditoría de MariaDB. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles. También puede habilitar la configuración de diagnóstico del registro de actividad de Azure y enviar los registros a la misma área de trabajo de Log Analytics o cuenta de almacenamiento.

• Configuración y acceso a los registros de servidor de Azure Database for MariaDB

• Configuración y acceso a los registros de auditoría de Azure Database for MariaDB

• Configuración de las opciones de diagnóstico para el registro de actividad de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: En Azure Monitor, en el área de trabajo de Log Analytics que se usa para almacenar los registros de Azure Database for MariaDB, establezca el período de retención de acuerdo con las normas de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

• Configuración de parámetros de retención de registros de áreas de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Guía: Analice y supervise los registros de las instancias de MariaDB para comprobar si tienen comportamientos anómalos. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

• Incorporación de Microsoft Sentinel

• Más información sobre el área de trabajo de Log Analytics

• Procedimiento para realizar consultas personalizadas en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía: Habilite Advanced Threat Protection para MariaDB. Advanced Threat Protection para Azure Database for MariaDB detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceso o ataque a las bases de datos.

Además, puede habilitar los registros de servidor y la configuración de diagnóstico para MariaDB y enviar registros a un área de trabajo de Log Analytics. Incorpore el área de trabajo de Log Analytics a Microsoft Sentinel, ya que proporciona una solución de respuesta automatizada de orquestación de seguridad (SOAR). Esto permite crear cuadernos de estrategias (soluciones automatizadas) y usarlos para corregir problemas de seguridad.

• Habilitación de Advanced Threat Protection para MariaDB

• Configuración y acceso a los registros de servidor para MariaDB

• Configuración y acceso a los registros de auditoría para MariaDB

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Mantenga un inventario de las cuentas de usuario que tienen acceso administrativo al plano de administración (Azure Portal/Azure Resource Manager) de las instancias de MariaDB. Así mismo, mantenga un inventario de las cuentas administrativas que tienen acceso al plano de datos de las instancias de MariaDB. (Al crear el servidor de MariaDB, se deben proporcionar las credenciales de un usuario administrador. Este administrador se puede usar para crear más usuarios de MariaDB).

• Descripción de la administración de acceso para MariaDB

• Información sobre los roles integrados de Azure para las suscripciones de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure Active Directory (Azure AD) no tiene el concepto de contraseñas predeterminadas.

Tras la creación del recurso de MariaDB mismo, Azure fuerza la creación de un usuario administrativo con una contraseña segura. Sin embargo, una vez creada la instancia de MariaDB, puede usar la primera cuenta de administrador de servidor que creó a fin de crear usuarios adicionales y concederles acceso administrativo. Al crear estas cuentas, asegúrese de configurar una contraseña segura distinta para cada una.

• Creación de cuentas adicionales para MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a las instancias de MariaDB. Use Microsoft Defender para la administración de identidades y acceso en la nube para supervisar el número de cuentas administrativas.

• Información sobre Microsoft Defender para la identidad y el acceso en la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: El acceso del plano de datos a MariaDB se controla mediante identidades almacenadas en la base de datos y no admite SSO. El acceso del plano de control para MariaDB está disponible a través de la API de REST y es compatible con SSO. Para autenticarse, establezca el encabezado de autorización de las solicitudes en JSON Web Token, que se obtiene de Azure Active Directory (Azure AD).

• Descripción de la API de REST de Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para Cloud Identity and Access Management.

• Habilitación de la autenticación multifactor en Azure

• Supervisión de la identidad y el acceso en Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Uso de estaciones de trabajo seguras y administradas por Azure para realizar tareas administrativas

Guía: Utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

• Más información sobre las estaciones de trabajo con privilegios de acceso

• Habilitación de la autenticación multifactor en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Habilite Advanced Threat Protection para MariaDB con el fin de generar alertas para actividades sospechosas.

Así mismo, puede usar Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para la generación de registros y alertas cuando se produzca actividad sospechosa o insegura en el entorno. Use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

• Configuración de Advanced Threat Protection para MariaDB

• Cómo implementar Privileged Identity Management (PIM)

• Información sobre las detecciones de riesgo de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas de intervalos de direcciones IP o países o regiones específicos, con el fin de limitar el acceso a los recursos de Azure, como MariaDB.

• Configuración de ubicaciones con nombre en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

No se puede usar la autenticación de Azure AD para el acceso directo al plano de datos de MariaDB; no obstante, se pueden usar credenciales de Azure AD para la administración a nivel del plano de administración (por ejemplo, Azure Portal) para controlar las cuentas de administrador de MariaDB.

• Actualización de la contraseña del administrador en MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: revise los registros de Azure Active Directory (Azure AD) con el fin de detectar cuentas obsoletas, como aquellas con roles administrativos de MariaDB. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficaz la pertenencia a grupos, el acceso a las aplicaciones empresariales que se pueden usar para tener acceso a MariaDB y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica cada 90 días para asegurarse de que solo los usuarios adecuados tengan acceso continuado.

• Descripción de los informes de Azure AD

• Procedimiento para usar las revisiones de acceso de identidad de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: habilite la configuración de diagnóstico para MariaDB y Azure Active Directory (Azure AD), y envíe todos los registros a un área de trabajo de Log Analytics. Configure las alertas que desee (como intentos de autenticación con errores) en el área de trabajo de Log Analytics.

• Configuración y acceso a los registros de servidor para MariaDB

• Configuración y acceso a los registros de auditoría para MariaDB

• Integración de los registros de actividad de Azure en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Habilite Advanced Threat Protection para MariaDB. Advanced Threat Protection para Azure Database for MariaDB detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceso o ataque a las bases de datos.

Use las características Identity Protection y de detección de riesgos de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas detectadas. Puede habilitar las respuestas automatizadas a través de Microsoft Sentinel para implementar las respuestas de seguridad de su organización.

• Habilitación de Advanced Threat Protection para MariaDB

• Configuración y habilitación de las directivas de riesgo de protección de identidad

• Visualización de los inicios de sesión de riesgo de Azure AD

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: Use etiquetas para ayudar a realizar un seguimiento de las instancias de Azure Database for MariaDB o los recursos relacionados que almacenan o procesan información confidencial.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Use una combinación de Private Link, puntos de conexión de servicio y reglas de firewall de MariaDB para aislar y limitar el acceso de red a las instancias de MariaDB.

• Creación de suscripciones adicionales de Azure

• Creación de grupos de administración

• Configuración de Private Link para Azure Database for MariaDB

• Configuración de puntos de conexión de servicio para Azure Database for MariaDB

• Configuración de reglas de firewall para Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Al usar VM de Azure para tener acceso a instancias de MariaDB, use Private Link, configuraciones de red de MariaDB, grupos de seguridad de red y etiquetas de servicio para mitigar la posibilidad de que se puedan filtrar los datos.

Microsoft administra la infraestructura subyacente para MariaDB y ha implementado controles estrictos para evitar la pérdida o exposición de los datos de los clientes.

• Mitigación de la filtración de datos para Azure Database for MariaDB

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Guía: Azure Database for MariaDB permite conectar el servidor de Azure Database for MariaDB con aplicaciones cliente mediante Seguridad de la capa de transporte (TLS), llamado anteriormente Capa de sockets seguros (SSL). Aplicar conexiones TLS entre el servidor de bases de datos y las aplicaciones cliente ayuda a proteger contra los ataques de tipo "Man in the middle" mediante el cifrado del flujo de datos entre el servidor y la aplicación. En Azure Portal, asegúrese de que esté habilitada la opción Aplicar conexión SSL para todas las instancias de MariaDB.

• Configuración del cifrado en tránsito para MariaDB

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Database for MariaDB. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso del control de acceso basado en rol para controlar el acceso a los recursos

Guía: use el control de acceso basado en roles de Azure (Azure RBAC) para administrar el acceso a Azure Database para el plano de administración de MariaDB (Azure Portal/Azure Resource Manager). Para el acceso al plano de datos (dentro de la base de datos), use consultas SQL para crear usuarios y configurar permisos de usuario.

• Configuración de Azure RBAC

• Configuración del acceso de usuario con SQL para MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en las instancias de producción de Azure Database for MariaDB y otros recursos críticos o relacionados.

• Creación de alertas para los eventos del registro de actividad de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía:Actualmente no está disponible; Microsoft Defender para la nube aún no admite la evaluación de vulnerabilidades para Azure Database for MariaDB servidor.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: use Azure Resource Graph para consultar y detectar todos los recursos (incluidos los servidores de Azure Database for MariaDB) dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

• Creación de consultas con Azure Resource Graph

• Visualización de las suscripciones de Azure

• Descripción de Azure RBAC

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Guía: Aplique etiquetas al servidor de Azure Database for MariaDB y otros recursos relacionados que proporcionen metadatos para organizarlos lógicamente en una taxonomía.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Guía: Use etiquetados, grupos de administración y suscripciones independientes, si procede, para organizar los servidores de Azure Database for MariaDB y los recursos relacionados y hacer un seguimiento de ellos. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

• Creación de suscripciones adicionales de Azure

• Creación de grupos de administración

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: No aplicable; esta recomendación está destinada a los recursos de proceso y a Azure en su conjunto.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

• Tipos de recursos no permitidos

• Tipos de recursos permitidos

Además, use Azure Resource Graph para consultar o detectar recursos dentro de las suscripciones.

• Configuración y administración de Azure Policy

• Creación de consultas con Azure Graph

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

• Tipos de recursos no permitidos

• Tipos de recursos permitidos

Para más información, consulte las siguientes referencias:

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management. De este modo, se puede impedir la creación y los cambios en los recursos dentro de un entorno de alta seguridad, como servidores de Azure Database for MariaDB que contienen información confidencial.

• Configuración del acceso condicional para bloquear el acceso a Azure Resource Manager

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para las instancias de Azure Database for MariaDB con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.DBforMariaDB" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las instancias de Azure Database for MariaDB. También puede usar las definiciones de directiva integradas relacionadas con los servidores de Azure Database for MariaDB, como:

• La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB.

Para más información, consulte las siguientes referencias:

• Visualización de los alias de Azure Policy disponibles

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use la directiva de Azure Policy [deny] y [deploy if not exist] para aplicar la configuración segura en los recursos de Azure.

• Configuración y administración de Azure Policy

• Descripción de los efectos de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones personalizadas de Azure Policy para los servidores de Azure Database for MariaDB y los recursos relacionados, use Azure Repos para almacenar y administrar el código de forma segura.

• Almacenamiento de código en Azure DevOps

• Documentación de Azure Repos

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres "Microsoft.DBforMariaDB" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres "Microsoft.DBforMariaDB" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Use [audit], [deny] y [deployifnotexist] de Azure Policy para aplicar automáticamente las configuraciones de las instancias de Azure Database for MariaDB y los recursos relacionados.

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Guía: En el caso de Azure Virtual Machines o aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso a los servidores de Azure Database for MariaDB, use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos de Azure Database for MariaDB. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

• Integración con identidades administradas de Azure

• Creación de un almacén de claves

• Autenticación en Azure Key Vault

• Asignación de una directiva de acceso de Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: el servidor de Azure Database for MariaDB actualmente no admite la autenticación de Azure Active Directory (Azure AD) para acceder a las bases de datos. Al crear el servidor de Azure Database for MariaDB, se deben proporcionar las credenciales de un usuario administrador. Este administrador se puede usar para crear más usuarios de MariaDB.

En el caso de Azure Virtual Machines o aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso al servidor de Azure Database for MariaDB, use identidades administradas junto con Azure Key Vault para almacenar y recuperar las credenciales del servidor de Azure Database for MariaDB. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

Use las identidades administradas para proporcionar a los servicios de Azure una identidad administrada automáticamente en Azure AD. Las identidades administradas le permiten autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluyendo Key Vault, sin necesidad de credenciales en el código.

• Configuración de las identidades administradas

• Integración con identidades administradas de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

• Configuración del escáner de credenciales

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Instrucciones: Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, servidores de Azure Database for MariaDB), pero no se ejecuta en el contenido del cliente.

Examine previamente el contenido que se carga en recursos de Azure que no son de proceso, como App Service, Data Lake Storage, Blob Storage, servidores de Azure Database for MariaDB, etc. Microsoft no tiene acceso a los datos de estas instancias.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía:Azure Database for MariaDB copias de seguridad completas, diferenciales y del registro de transacciones. Azure Database for MariaDB crea automáticamente copias de seguridad del servidor y las almacena en el almacenamiento con redundancia local o con redundancia geográfica configurado por el usuario. Las copias de seguridad pueden utilizarse para restaurar el servidor a un momento dado. Las copias de seguridad y las restauraciones son una parte esencial de cualquier estrategia de continuidad del negocio, ya que protegen los datos frente a daños o eliminaciones accidentales. El período de retención predeterminado es siete días. Opcionalmente, puede configurarlo hasta 35 días. Todas las copias de seguridad se cifran mediante cifrado AES de 256 bits.

• Descripción de las copias de seguridad de MariaDB

• Descripción de la configuración inicial de MariaDB

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforMariaDB:

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: Azure Database for MariaDB crea automáticamente copias de seguridad del servidor y las almacena en el almacenamiento con redundancia local o con redundancia geográfica configurado por el usuario. Las copias de seguridad pueden utilizarse para restaurar el servidor a un momento dado. Las copias de seguridad y las restauraciones son una parte esencial de cualquier estrategia de continuidad del negocio, ya que protegen los datos frente a daños o eliminaciones accidentales.

Si usa Key Vault para el cifrado de datos del lado cliente para los datos almacenados en el servidor de MariaDB, asegúrese de realizar copias de seguridad automatizadas periódicas de las claves.

• Descripción de las copias de seguridad de MariaDB

• Procedimiento para realizar copias de seguridad de claves de Key Vault

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforMariaDB:

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Instrucciones: En Azure Database for MariaDB, realice una restauración a partir de las copias de seguridad del servidor original a fin de realizar pruebas periódicas de las copias de seguridad. Hay dos tipos de restauración disponibles: Restauración a un momento dado y geográfica. La restauración a un momento dado está disponible con cualquier opción de redundancia de copia de seguridad y crea un nuevo servidor en la misma región que el servidor original. La restauración geográfica solo está disponible si ha configurado el servidor para el almacenamiento con redundancia geográfica y le permite restaurar el servidor en otra región.

El tiempo estimado de recuperación depende de varios factores, como el tamaño de la bases de datos, el tamaño del registro de transacciones, el ancho de banda de red y el número total de bases de datos que se están recuperando en la misma región al mismo tiempo. Normalmente, el tiempo de recuperación es inferior a 12 horas.

• Descripción de la copia de seguridad y restauración en Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía:Azure Database for MariaDB copias de seguridad completas, diferenciales y del registro de transacciones. Estas copias de seguridad permiten restaurar un servidor a un momento dado dentro del período de retención de copias de seguridad configurado. El período de retención predeterminado es siete días. Opcionalmente, puede configurarlo hasta 35 días. Todas las copias de seguridad se cifran mediante cifrado AES de 256 bits.

• Descripción de la copia de seguridad y restauración en Azure Database for MariaDB

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

• Guía para crear su propio proceso de respuesta a incidentes de seguridad

• Anatomía de un incidente del Centro de respuestas de seguridad de Microsoft

• El cliente también puede usar la guía de control de incidentes de seguridad de equipos de NIST como referencia para la creación de su propio plan de respuesta a incidentes

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en la métrica usada para emitir la alerta, así como en el nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta.

Adicionalmente, marque claramente las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

• Alertas de seguridad en Microsoft Defender for Cloud

• Uso de etiquetas para organizar los recursos de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Instrucciones: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente; así, ayudará a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.

• Consulte la publicación de NIST: Guía para probar, entrenar y ejecutar programas para planes y funcionalidades de TI

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

• Cómo establecer el contacto de Seguridad en la nube de Microsoft Defender

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua para ayudar a identificar los riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel.

• Configuración de la exportación continua

• Transmisión de alertas a Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:Use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

• Configuración de la automatización de flujo de trabajo y Logic Apps

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.