Línea de base de seguridad de Azure para Azure Migrate
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Azure Migrate. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Migrate.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure Migrate. Para ver cómo Azure Migrate se asigna por completo al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Migrate.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Migrate, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Migración |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena contenido de cliente en reposo | True |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: el cliente puede configurar Azure Migrate para requerir Private Link.
Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica de Private Link, para establecer un punto de acceso privado para los recursos.
El soporte técnico de Azure Migrate Private Link permite a los clientes detectar, evaluar y migrar servidores de forma segura a través de una red privada, al tiempo que ofrecen protección contra riesgos de filtración de datos y permiten una mayor velocidad de migración.
Puede conectarse de forma privada y segura a Azure Migrate a través de un emparejamiento privado de Azure ExpressRoute o una conexión VPN de sitio a sitio (S2S) mediante Private Link.
Referencia: Uso de Azure Migrate con Azure Private Link
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: el cliente puede configurar Azure Migrate con Private Link, lo que deshabilita el acceso al punto de conexión público.
Guía de configuración: deshabilite el acceso a la red pública mediante la alternancia del conmutador para el acceso a la red pública.
Puede configurar el método de conectividad para el proyecto de Azure Migrate y elegir habilitar o deshabilitar el acceso de red pública al proyecto migrate.
Referencia: Uso de Azure Migrate con puntos de conexión privados
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure Migrate aprovecha las identidades administradas y las entidades de servicio de Azure AD para determinadas operaciones del plano de datos. Azure Migrate también admite Azure AD para el acceso de usuario del plano de control a través de Azure Portal.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Microsoft |
Notas de características: Azure Migrate usa la identidad administrada para acceder de forma segura a los datos migrados que se mantienen en una cuenta de almacenamiento. Esto se usa actualmente en un escenario en el que se configura el punto de conexión privado.
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio cuando sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Los servicios de detección y evaluación de Azure Migrate no usan entidades de servicio, pero el servicio de migración usa entidades de servicio en un escenario de punto de conexión público para conectarse al almacén de claves del cliente mediante la aplicación de Administrador de recuperación de Hyper-V.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: el dispositivo de Azure Migrate aprovecha Key Vault para administrar las cadenas de conexión del bus de servicio y las claves de acceso de las cuentas de almacenamiento se usan para la replicación.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Protección de los datos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: el cifrado de datos en tránsito está habilitado de forma predeterminada. Azure Migrate admite el cifrado de datos en tránsito con TLS v1.2 u otra versión posterior.
Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes (incluidos el dispositivo Azure Migrate y otros equipos en los que haya instalado el software Azure Migrate) que se conectan a los recursos de Azure pueden negociar TLS v1.2 o posterior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: todos los datos almacenados en Azure Migrate se cifran en reposo con claves administradas por Microsoft.
La herramienta Server Migration de Azure Migrate replica los datos de los discos de los servidores que se van a migrar en cuentas de almacenamiento y discos administrados en su suscripción de Azure. El control de datos es transitorio hasta que se escribe en cuentas de almacenamiento o discos administrados en la suscripción y no se conserva en Azure Migrate. Los datos replicados en la cuenta de almacenamiento y los discos administrados se cifran en reposo con claves administradas por Microsoft. En el caso de datos altamente confidenciales, tiene opciones para implementar cifrado adicional en reposo con claves administradas por el cliente en la cuenta de almacenamiento y en los discos administrados.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: habilite e implemente el cifrado de datos en reposo para los datos replicados mediante claves administradas por el cliente.
Para replicar máquinas virtuales con CMK, será necesario crear un conjunto de cifrado de disco en el grupo de recursos de destino. Un objeto de conjunto de cifrado de disco asigna instancias de Managed Disks a una instancia de Key Vault que contiene las claves CMK que se van a usar para SSE.
Referencia: Migración de máquinas virtuales de VMware a Azure (sin agente)
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: el dispositivo de Azure Migrate aprovecha Key Vault para administrar las cadenas de conexión del bus de servicio y las claves de acceso de las cuentas de almacenamiento se usan para la replicación.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Configuración del dispositivo de Azure Migrate
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure Migrate puede aprovechar Azure Policy, pero el cliente debe configurarlo para que se aplique.
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar la configuración segura en los recursos de Azure.
Referencia: Azure Policy definiciones integradas para Azure Migrate
Registro y detección de amenazas
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.