Línea de base de seguridad de Azure para Azure Policy

Esta línea base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Policy. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los dominios de cumplimiento y los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Policy.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Policy y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo se asigna Azure Policy por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de Azure Policy completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Azure Policy no expone sus configuraciones de DNS subyacentes, ya que esta configuración la mantiene Microsoft.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Policy usa Azure Active Directory (Azure AD) como un servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Azure Policy usa las Identidades administradas por Azure para cuentas que no pertenecen a humanos, como los servicios o la automatización. Asimismo, se recomienda usar la característica de identidades administradas por Azure en lugar de crear una cuenta humana más eficaz para acceder a los recursos o ejecutarlos. Azure Policy puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD mediante una regla de concesión de acceso predefinida sin usar las credenciales codificadas de forma rígida en el código fuente o los archivos de configuración. Azure Policy crea una identidad administrada para las asignaciones de directivas basadas en la corrección. Si la asignación se crea en el portal, Azure Policy concede los roles de la definición de directiva a la identidad administrada. Si la asignación se crea a través del SDK, el cliente es responsable de conceder los roles necesarios a la identidad administrada.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Azure Policy usa Azure Active Directory (Azure AD) para proporcionar la opción de administración de identidades y acceso a los recursos de Azure, las aplicaciones en la nube y las aplicaciones locales. Esto incluye no solo las identidades empresariales, como los empleados, sino también las identidades externas, como asociados y proveedores. Azure AD permite el inicio de sesión único (SSO) para administrar el servicio de Azure Policy a través de Azure Portal mediante las identidades de Active Directory corporativas sincronizadas. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: las definiciones de Azure Policy pueden contener información confidencial o secretos. Por ello se recomienda auditar las credenciales

o los secretos dentro de las definiciones de JSON.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados más críticos de Azure AD son los de administrador global y administrador de roles con privilegios, ya que los usuarios que tengan asignados estos dos roles pueden delegar roles de administrador:

  • Administrador global o Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que usan identidades de Azure AD. - Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles en Azure AD, así como dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite la administración de todos los aspectos de PIM y de las unidades administrativas. Nota: Es posible que tenga otros roles críticos que deban regularse si usa roles personalizados que tengan asignados determinados permisos con privilegios. También es recomendable aplicar controles similares a la cuenta de administrador de recursos empresariales críticos. Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar directa o indirectamente todos los recursos del entorno de Azure. Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y de Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

  • Permisos de rol administrativo en Azure AD

  • Uso de alertas de seguridad de Azure Privileged Identity Management

  • Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure Policy usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y obtener acceso a la asignación con regularidad para asegurarse de que las cuentas y el acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Además, Azure AD PIM también se puede configurar para que envíe alertas cuando se crea un número excesivo de cuentas de administrador y para poder identificar las cuentas de administrador obsoletas o configuradas incorrectamente. Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Policy se integra en el control de acceso basado en roles de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-4: Cifrado de la información confidencial en tránsito

Guía: Azure Policy admite el cifrado de datos en tránsito con TLS v1.2 o una versión superior. De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Microsoft

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.GuestConfiguration:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 3.0.0

DP-5: Cifrado de datos confidenciales en reposo

Guía: de forma predeterminada, Microsoft cifra los datos de servicio en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos de Azure continuamente actualizado, como Azure Policy. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure Active Directory (Azure AD) que contenga el equipo de seguridad autorizado de su organización, y asigne acceso de lectura a todos los recursos del área de trabajo de Azure Policy; esto se puede simplificar mediante una única asignación de roles de nivel alto dentro de la suscripción o el grupo de administración.

Azure Policy no usa etiquetas ni permite a los clientes aplicar o usar etiquetas de recursos como los metadatos, para organizarlas lógicamente en una taxonomía.

Azure Policy admite implementaciones de recursos basadas en Resource Manager con el efecto DeployIfNotExists. También admite consultas de Azure Resource Graph y es compatible con tablas personalizadas.

Azure Policy no permite la ejecución de una aplicación ni la instalación de software en sus recursos. Describa cualquier otra característica de la oferta que permita o admita esta característica, según corresponda.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Azure Policy no proporciona capacidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.

Reenvíe los registros de Azure Policy a su SIEM, ya que puede usarse para configurar detecciones de amenazas personalizadas. Asegúrese de que supervisa distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión/SIEM para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.

  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta capacidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Azure Policy, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Actualmente, Azure Policy no genera registros de recursos de Azure.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.

Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo. Asimismo, puede habilitar e incorporar datos a Microsoft Sentinel o a un SIEM de terceros. Muchas organizaciones deciden usar Microsoft Sentinel para los datos de acceso frecuente y Azure Storage para los datos que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de Azure Policy tengan el período de retención de registros configurado de acuerdo a la normativa de cumplimiento de la organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Policy no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio de Azure Policy se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Customer

Pasos siguientes