Base de referencia de seguridad de Azure para Network Watcher

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Network Watcher. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa en función de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Network Watcher.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Network Watcher y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Network Watcher se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de base de referencia de seguridad de Network Watcher.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Network Watcher no expone sus configuraciones DNS subyacentes. Microsoft mantiene esta configuración.

Responsabilidad: Microsoft

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Network Watcher se integra con Azure RBAC para administrar el acceso a sus recursos. Use Azure RBAC para administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Asigne estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Puede hacer un inventario o consultar estos roles a través de herramientas, como:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM). Revise estos privilegios periódicamente.

Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Para usar las funcionalidades de Network Watcher, asigne la cuenta con la que inicia sesión en Azure a uno de estos roles integrados:

  • Propietario
  • Colaborador
  • colaborador de red

O bien, use un rol personalizado al que se asignen las acciones enumeradas para funcionalidades específicas de Network Watcher.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Azure Network Watcher no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: Microsoft administra la infraestructura subyacente para Azure Network Watcher y los recursos relacionados. Implementa controles estrictos para evitar la pérdida o exposición de los datos del cliente.

Responsabilidad: Microsoft

DP-4: Cifrado de la información confidencial en tránsito

Guía: Azure Network Watcher admite el cifrado de datos en tránsito con TLS v1.2 o una versión superior. De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Asegúrese de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos

Guía: asegúrese de que los equipos de seguridad pueden acceder a un inventario de recursos actualizado continuamente en Azure, como Network Watcher. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es una entrada para las mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización. Proporcione acceso de lectura al equipo de seguridad para todos los recursos de Network Watcher. Puede simplificar estas acciones en una única asignación de funciones de alto nivel dentro de su suscripción.

Para organizarlos lógicamente en una taxonomía, aplique etiquetas a los siguientes elementos:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Network Watcher no tiene capacidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.

Reenvíe los registros relacionados con Azure Network Watcher a SIEM. Puede usar SIEM para configurar detecciones de amenazas personalizadas. Supervise los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de los datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: habilite y recopile registros de recursos del grupo de seguridad de red (NSG) y registros de flujo de NSG. Use estos registros para el análisis de seguridad para admitir lo siguiente:

  • Investigaciones de incidentes
  • Búsqueda de amenazas
  • Generación de alertas de seguridad

Envíe los registros de flujos en un área de trabajo de Log Analytics en Azure Monitor. A continuación, use Análisis de tráfico para proporcionar información. Network Watcher no genera ni procesa registros de consultas de DNS.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

LT-4: Habilitación del registro para recursos de Azure

Instrucciones: use el registro de actividades de Azure para supervisar las configuraciones y detectar cambios en las instancias de Azure Network Watcher. Aparte de hacerlo en el plano de control (por ejemplo, Azure Portal), Network Watcher no genera por sí mismo registros de auditoría. En cuanto a los recursos de una red virtual de Azure, Network Watcher proporciona herramientas para:

  • Supervisión
  • Diagnóstico
  • Visualización de métricas
  • Habilitar o deshabilitar registros

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: para habilitar la correlación de los datos de registro de Azure Network Watcher, centralice el almacenamiento y el análisis del registro. Para cada origen de registro, asigne:

  • Un propietario de datos
  • Guía de acceso
  • Ubicación de almacenamiento
  • Herramientas que se usan para procesar y acceder a los datos
  • Requisitos de retención de datos

Integre los registros de actividades de Azure en su registro central. Realice la ingesta de los registros a través de Azure Monitor para agregar los datos de seguridad generados por:

  • Dispositivos de punto de conexión
  • Recursos de red
  • Otros sistemas de seguridad

En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

Asimismo, habilite e incorpore datos en Microsoft Sentinel o en un SIEM de terceros. Muchas organizaciones optan por usar Microsoft Sentinel para los datos de "acceso frecuente" que se usan con frecuencia. A continuación, use Azure Storage para los datos "fríos" que se usan con menos frecuencia.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: el servicio Network Watcher se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: con Azure Policy, defina e implemente configuraciones de seguridad estándar para Azure Network Watcher. Use los alias de Azure Policy en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de Network Watcher. También puede utilizar definiciones de directivas integradas como:

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: para aplicar la configuración segura de Azure Network Watcher en los recursos de Azure, use las definiciones de directiva Deny e DeployIfNotExists en Azure Policy.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos.

¿Le preocupa que las pruebas de penetración infrinjan las directivas de Microsoft? A continuación, siga las reglas de involucración de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Azure Network Watcher no implementa ningún recurso de proceso orientado al cliente que requiera que los clientes configuren la protección antimalware. Microsoft controla la infraestructura subyacente de Azure Network Watcher. Esta infraestructura incluye el control de antimalware.

Responsabilidad: Microsoft

ES-3: Garantía de la actualización del software y las firmas antimalware

Guía: Azure Network Watcher no implementa ningún recurso de proceso orientado al cliente que requiera que los clientes configuren la protección antimalware. Microsoft controla la infraestructura subyacente de Azure Network Watcher. Esta infraestructura incluye el control de antimalware.

Responsabilidad: Microsoft

Pasos siguientes