Línea de base de seguridad de Azure para un único servidor de Azure Database for PostgreSQL

Esta línea base de seguridad aplica instrucciones de la versión 1.0 de Azure Security Benchmark a Azure Database for PostgreSQL: servidor único. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y la guía relacionada aplicable a Azure Database for PostgreSQL con servidor único.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Configuración de Private Link para Azure Database for PostgreSQL con puntos de conexión privados. Private Link permite conectarse a varios servicios PaaS en Azure mediante un punto de conexión privado. En esencia, Azure Private Link incorpora los servicios de Azure dentro de su red virtual privada (VNet). El tráfico entre la red virtual y la instancia de PostgreSQL viaja por la red troncal de Microsoft.

Como alternativa, puede usar puntos de conexión de servicio de red virtual para proteger y limitar el acceso de red a las implementaciones de Azure Database for PostgreSQL. Las reglas de red virtual son una característica de seguridad de firewall que controla si el servidor de Azure Database for PostgreSQL acepta las comunicaciones que se envían desde subredes específicas en redes virtuales.

También puede proteger su servidor de Azure Database for PostgreSQL con reglas de firewall. El firewall de servidor impide todo acceso al servidor de bases de datos, excepto a aquellos equipos a los que haya concedido permiso. Para configurar su firewall, cree reglas de firewall que especifiquen intervalos de direcciones IP aceptables. Puede crear reglas de firewall a nivel de servidor.

• Configuración de Private Link para Azure Database for PostgreSQL

• Creación y administración de reglas y puntos de conexión de servicio de red virtual de Azure Database for PostgreSQL

• Configuración de reglas de firewall para Azure Database for PostgreSQL

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforPostgreSQL:

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Cuando la instancia de Azure Database for PostgreSQL está protegida en un punto de conexión privado, puede implementar máquinas virtuales en la misma red virtual. Puede usar un grupo de seguridad de red (NSG) para reducir el riesgo de la filtración de datos. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

• Configuración de Private Link para Azure Database for PostgreSQL

• Habilitación de los registros de flujo de NSG

• Habilitación y uso del Análisis de tráfico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Instrucciones: Use de Advanced Threat Protection para Azure Database for PostgreSQL. Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas.

Habilite el estándar de DDoS Protection en las redes virtuales asociadas a las instancias de Azure Database for PostgreSQL a fin de protegerse de los ataques DDoS. Use Microsoft Defender para Cloud Integrated Threat Intelligence para denegar las comunicaciones con direcciones IP de Internet malintencionadas o no utilizadas conocidas.

• Configuración de Advanced Threat Protection para Azure Database for PostgreSQL

• Configuración de la protección contra DDoS

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: Cuando la instancia de Azure Database for PostgreSQL está protegida en un punto de conexión privado, puede implementar máquinas virtuales en la misma red virtual. A continuación, puede configurar un grupo de seguridad de red (NSG) para reducir el riesgo de la filtración de datos. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

• Habilitación de los registros de flujo de NSG

• Habilitación y uso del Análisis de tráfico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Instrucciones: Use de Advanced Threat Protection para Azure Database for PostgreSQL. Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas.

• Configuración de Advanced Threat Protection para Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: En el caso de los recursos que necesitan acceso a las instancias de Azure Database for PostgreSQL, use las etiquetas de servicio de red virtual con el fin de definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, SQL.WestUs) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Nota: Azure Database for PostgreSQL usa la etiqueta de servicio "Microsoft.Sql".

• Más información sobre el uso de etiquetas de servicio

• Descripción del uso de etiquetas de servicio para Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Defina e implemente configuraciones de seguridad estándar para los recursos y la configuración de red asociados a las instancias de Azure Database for PostgreSQL con Azure Policy. Use alias de Azure Policy en los espacios de nombres "Microsoft.DBforPostgreSQL" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las instancias de Azure Database for PostgreSQL. También puede usar las definiciones de directiva integradas relacionadas con las redes o las instancias de Azure Database for PostgreSQL, como:

• Se debe habilitar DDoS Protection estándar

• La aplicación de la conexión TLS debe estar habilitada para los servidores de base de datos PostgreSQL

Para obtener más información, vea los siguientes vínculos de referencia.

• Configuración y administración de Azure Policy

• Ejemplos de Azure Policy para redes

• Creación de un plano técnico de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Instrucciones: Use etiquetas para los recursos relacionados con la seguridad de red y el flujo de tráfico de las instancias de Azure Database for PostgreSQL a fin de proporcionar metadatos y una organización lógica.

Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los recursos no etiquetados existentes.

Puede usar Azure PowerShell o la CLI de Azure para buscar o realizar acciones en los recursos en función de sus etiquetas.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en dichos recursos relacionados con las instancias de Azure Database for PostgreSQL. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

• Visualización y recuperación de eventos del registro de actividad de Azure

• Creación de alertas en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Guía: Habilite la configuración de diagnóstico y los registros de servidor y de ingesta para agregar los datos de seguridad generados por las instancias de Azure Database for PostgreSQL. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

• Configuración de los registros de servidor de Azure Database for PostgreSQL y acceso a estos

• Configuración de los registros de auditoría de Azure Database for PostgreSQL y acceso a estos

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Habilite Configuración de diagnóstico en las instancias de Azure Database for PostgreSQL para acceder a los registros de auditoría, seguridad y recursos. Asegúrese de habilitar específicamente el registro de auditoría de PostgreSQL. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles. También puede habilitar la configuración de diagnóstico del registro de actividad de Azure y enviar los registros a la misma área de trabajo de Log Analytics o cuenta de almacenamiento.

• Configuración de los registros de servidor de Azure Database for PostgreSQL y acceso a estos

• Configuración de los registros de auditoría de Azure Database for PostgreSQL y acceso a estos

• Configuración de las opciones de diagnóstico para el registro de actividad de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: En Azure Monitor, en el área de trabajo de Log Analytics que se usa para almacenar los registros de Azure Database for PostgreSQL, establezca el período de retención de acuerdo con las normas de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

• Configuración de parámetros de retención de registros de áreas de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Instrucciones: Analice y supervise los registros de las instancias de Azure Database for PostgreSQL para comprobar si tienen comportamientos anómalos. Use Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos de registro. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

• Incorporación de Microsoft Sentinel

• Para más información sobre Log Analytics, consulte .

• Procedimiento para realizar consultas personalizadas en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Instrucciones: Habilite Advanced Threat Protection para Azure Database for PostgreSQL. Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas.

Además, puede habilitar los registros de servidor y la configuración de diagnóstico para PostgreSQL y enviar registros a un área de trabajo de Log Analytics. Incorpore el área de trabajo de Log Analytics a Microsoft Sentinel, ya que proporciona una solución de respuesta automatizada de orquestación de seguridad (SOAR). Esto permite crear cuadernos de estrategias (soluciones automatizadas) y usarlos para corregir problemas de seguridad.

• Habilitación de Advanced Threat Protection para Azure Database for PostgreSQL

• Configuración de los registros de servidor de Azure Database for PostgreSQL y acceso a estos

• Configuración de los registros de auditoría de Azure Database for PostgreSQL y acceso a estos

• Configuración de las opciones de diagnóstico para el registro de actividad de Azure

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Mantenga un inventario de las cuentas de usuario que tienen acceso administrativo al plano de control (por ejemplo, Azure Portal) de las instancias de Azure Database for PostgreSQL. Así mismo, mantenga un inventario de las cuentas administrativas que tienen acceso al plano de datos (dentro de la propia base de datos) de las instancias de Azure Database for PostgreSQL. (Al crear el servidor de PostgreSQL, se deben proporcionar las credenciales de un usuario administrador. Este administrador se puede usar para crear más usuarios de PostgreSQL).

Azure Database for PostgreSQL no admite el control de acceso basado en roles integrado, pero se pueden crear roles personalizados basados en operaciones específicas del proveedor de recursos.

• Roles personalizados de Azure

• Operaciones de proveedores de recursos de Azure

• Seguridad en Azure Database for PostgreSQL con un único servidor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure Active Directory (Azure AD) y Azure Database for PostgreSQL no tienen el concepto de contraseñas predeterminadas.

Tras la creación del recurso de Azure Database for PostgreSQL, Azure fuerza la creación de un usuario administrativo con una contraseña segura. Sin embargo, una vez creada la instancia de PostgreSQL, puede usar la primera cuenta de administrador de servidor que creó a fin de crear usuarios adicionales y concederles acceso administrativo. Al crear estas cuentas, asegúrese de configurar una contraseña segura distinta para cada una.

• Creación de cuentas adicionales en Azure Database for PostgreSQL

• Actualización de la contraseña del administrador

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a las instancias de Azure Database for PostgreSQL. Use Microsoft Defender para la administración de identidades y acceso en la nube para supervisar el número de cuentas administrativas.

• Información sobre Microsoft Defender para la identidad y el acceso a la nube

• Descripción sobre cómo crear usuarios administradores en Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: Es posible iniciar sesión en Azure Database for PostgreSQL mediante el uso de un nombre de usuario y una contraseña configurados directamente en la base de datos, así como con el uso de una identidad de Azure Active Directory (Azure AD) y un token de Azure AD para la conexión. Al usar un token de Azure AD, se admiten varios métodos, como un usuario, un grupo o una aplicación de Azure AD que se conecten a la base de datos.

De forma independiente, el acceso al plano de control de PostgreSQL está disponible a través de la API REST y es compatible con SSO. Para autenticarse, establezca el encabezado de autorización de las solicitudes en JSON Web Token, que se obtiene de Azure AD.

• Uso de Azure Active Directory para la autenticación con PostgreSQL

• Descripción de la API REST de Azure Database for PostgreSQL

• Descripción del SSO con Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para Cloud Identity and Access Management. Al utilizar tokens de Azure AD para iniciar sesión en la base de datos, esto le permite requerir la autenticación multifactor para inicios de sesión de base de datos.

• Habilitación de la autenticación multifactor en Azure

• Uso de Azure Active Directory para la autenticación con PostgreSQL

• Supervisión de la identidad y el acceso en Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Uso de estaciones de trabajo seguras y administradas por Azure para realizar tareas administrativas

Guía: Utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

• Más información sobre las estaciones de trabajo con privilegios de acceso

• Habilitación de la autenticación multifactor en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Habilite Advanced Threat Protection para Azure Database for PostgreSQL con el fin de generar alertas para actividades sospechosas.

Así mismo, puede usar Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para la generación de registros y alertas cuando se produzca actividad sospechosa o insegura en el entorno.

Use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

• Configuración de Advanced Threat Protection para Azure Database for PostgreSQL

• Cómo implementar Privileged Identity Management (PIM)

• Información sobre las detecciones de riesgo de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir al portal y a Azure Resource Manager el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

• Configuración de ubicaciones con nombre en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Para iniciar sesión en Azure Database for PostgreSQL, le recomendamos usar Azure AD y usar un token de Azure AD para conectarse. Al usar un token de Azure AD, se admiten varios métodos, como un usuario, un grupo o una aplicación de Azure AD que se conecten a la base de datos.

También se pueden usar credenciales de Azure AD para la administración a nivel de plano de administración (por ejemplo, Azure Portal) a fin de controlar las cuentas de administrador de PostgreSQL.

• Uso de Azure Active Directory para la autenticación con PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: Revise los registros de Azure Active Directory (Azure AD) a fin de detectar cuentas obsoletas, como aquellas con roles administrativos de Azure Database for PostgreSQL. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficaz la pertenencia a grupos, el acceso a las aplicaciones empresariales que se pueden usar para tener acceso a Azure Database for PostgreSQL y las asignaciones de roles. El acceso de los usuarios se debe revisar de forma periódica cada 90 días para asegurarse de que solo los usuarios adecuados tengan acceso continuado.

• Descripción de los informes de Azure AD

• Procedimiento para usar las revisiones de acceso de identidad de Azure

• Revisión de los usuarios de PostgreSQL y los roles asignados

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Habilite la configuración de diagnóstico para Azure Database for PostgreSQL y Azure Active Directory (Azure AD), y envíe todos los registros a un área de trabajo de Log Analytics. Configure las alertas que desee (como intentos de autenticación con errores) en Log Analytics.

• Configuración de los registros de servidor de Azure Database for PostgreSQL y acceso a estos

• Configuración de los registros de auditoría de Azure Database for PostgreSQL y acceso a estos

• Integración de los registros de actividad de Azure en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Habilite Advanced Threat Protection para Azure Database for PostgreSQL con el fin de generar alertas para actividades sospechosas.

Use las características Identity Protection y de detección de riesgos de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas detectadas. Puede habilitar las respuestas automatizadas a través de Microsoft Sentinel para implementar las respuestas de seguridad de su organización.

También puede ingerir registros en Microsoft Sentinel para una investigación más exhaustiva.

• Configuración de Advanced Threat Protection para Azure Database for PostgreSQL

• ¿Qué es Azure Active Directory Identity Protection?

• Visualización de los inicios de sesión de riesgo de Azure AD

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Guía: Actualmente, no está disponible; la Caja de seguridad del cliente todavía no se admite en Azure Database for PostgreSQL.

• Lista de servicios admitidos por la Caja de seguridad del cliente

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: Use etiquetas para ayudar a realizar un seguimiento de las instancias de Azure Database for PostgreSQL o los recursos relacionados que almacenan o procesan información confidencial.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Use una combinación de Private Link, puntos de conexión de servicio o reglas de firewall para aislar y limitar el acceso de red a las instancias de Azure Database for PostgreSQL.

• Creación de suscripciones adicionales de Azure

• Creación de grupos de administración

• Configuración de Private Link para Azure Database for PostgreSQL

• Creación y administración de reglas y puntos de conexión de servicio de red virtual de Azure Database for PostgreSQL

• Configuración de reglas de firewall para Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Instrucciones: Al usar máquinas virtuales de Azure para tener acceso a instancias de Azure Database for PostgreSQL, use Private Link, las configuraciones de red de PostgreSQL, los grupos de seguridad de red y las etiquetas de servicio para mitigar la posibilidad de que se puedan filtrar los datos.

Microsoft administra la infraestructura subyacente de Azure Database for PostgreSQL y ha implementado controles estrictos para evitar la pérdida o exposición de los datos de los clientes.

• Mitigación de la filtración de datos para Azure Database for PostgreSQL

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Guía: Azure Database for PostgreSQL admite la conexión de un servidor de PostgreSQL a las aplicaciones cliente mediante Seguridad de la capa de transporte (TLS), que anteriormente se denominaba Capa de sockets seguros (SSL). La aplicación de conexiones TLS entre el servidor de bases de datos y las aplicaciones cliente ayuda a proteger contra los ataques del tipo "Man in the middle", ya que cifra el flujo de datos entre el servidor y la aplicación. En Azure Portal, asegúrese de que está habilitada la opción "Aplicar conexión SSL" para todas las instancias de Azure Database for PostgreSQL de forma predeterminada.

Actualmente, las versiones de TLS admitidas para Azure Database for PostgreSQL son TLS 1.0, TLS 1.1 y TLS 1.2.

• Configuración del cifrado en tránsito para Azure Database for PostgreSQL

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforPostgreSQL:

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Database for PostgreSQL. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso de RBAC de Azure para controlar el acceso a los recursos

Instrucciones: Use el control de acceso basado en rol (RBAC) de Azure para controlar el acceso al plano de control de Azure Database for PostgreSQL (por ejemplo, Azure Portal). Para el acceso al plano de datos (dentro de la base de datos), use consultas SQL para crear usuarios y configurar permisos de usuario. RBAC de Azure no afecta a los permisos de usuario de la base de datos.

• Configuración de Azure RBAC

• Crear usuarios en Azure Database for PostgreSQL - Hiperescala (Citus)

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en las instancias de producción de Azure Database for PostgreSQL y otros recursos críticos o relacionados.

• Creación de alertas para los eventos del registro de actividad de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía:siga las recomendaciones de Microsoft Defender para la nube sobre la protección de Azure Database for PostgreSQL recursos relacionados.

Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Database for PostgreSQL.

• Información sobre las recomendaciones de Microsoft Defender para la nube

• Cobertura de características para los servicios PaaS de Azure en Microsoft Defender para la nube

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: Use Azure Resource Graph para consultar y detectar todos los recursos (incluidas las instancias de Azure Database for PostgreSQL) dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

• Creación de consultas con Azure Resource Graph

• Visualización de las suscripciones de Azure

• Descripción de Azure RBAC

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Guía: aplique etiquetas a las instancias de Azure Database for PostgreSQL y otros recursos relacionados que proporcionen metadatos para organizarlos lógicamente en una taxonomía.

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Guía: use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar las instancias de Azure Database for PostgreSQL y los recursos relacionados y hacer un seguimiento de ellos. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

• Creación de suscripciones adicionales de Azure

• Creación de grupos de administración

• Creación y uso de etiquetas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: No aplicable; esta recomendación está destinada a los recursos de proceso y a Azure en su conjunto.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Instrucciones: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

• Tipos de recursos no permitidos

• Tipos de recursos permitidos

Además, use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones.

• Configuración y administración de Azure Policy

• Creación de consultas con Azure Graph

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

• Tipos de recursos no permitidos
• Tipos de recursos permitidos

Para obtener más información, vea los siguientes vínculos de referencia.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management. De este modo, se puede impedir la creación y los cambios en los recursos dentro de un entorno de alta seguridad, como instancias de Azure Database for PostgreSQL que contienen información confidencial.

• Configuración del acceso condicional para bloquear el acceso a Azure Resource Manager

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: defina e implemente configuraciones de seguridad estándar para las instancias de Azure Database for PostgreSQL con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.DBforPostgreSQL" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las instancias de Azure Database for PostgreSQL. También puede usar las definiciones de directiva integradas relacionadas con las instancias de Azure Database for PostgreSQL, como:

• La aplicación de la conexión TLS debe estar habilitada para los servidores de base de datos PostgreSQL
• Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL.

Para obtener más información, vea los siguientes vínculos de referencia.

• Visualización de los alias de Azure Policy disponibles

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use la directiva de Azure Policy [deny] y [deploy if not exist] para aplicar la configuración segura en los recursos de Azure.

• Configuración y administración de Azure Policy

• Descripción de los efectos de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones de Azure Policy personalizadas para las instancias de Azure Database for PostgreSQL y los recursos relacionados, use Azure Repos para almacenar y administrar el código de forma segura.

• Almacenamiento de código en Azure DevOps

• Documentación de Azure Repos

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: use alias de Azure Policy en el espacio de nombres "Microsoft.DBforPostgreSQL" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: use alias de Azure Policy en el espacio de nombres "Microsoft.DBforPostgreSQL" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Use Azure Policy [audit], [deny] y [deploy if not exist] para aplicar automáticamente las configuraciones de las instancias de Azure Database for PostgreSQL y los recursos relacionados.

• Configuración y administración de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Instrucciones: En el caso de Azure Virtual Machines o las aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso a las instancias de Azure Database for PostgreSQL, use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos de Azure Database for PostgreSQL. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

• Integración con identidades administradas de Azure

• Creación de un almacén de claves

• Autenticación en Azure Key Vault

• Asignación de una directiva de acceso de Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: El servidor de Azure Database for PostgreSQL admite la autenticación de Azure Active Directory (Azure AD) para tener acceso a las bases de datos. Al crear el servidor de Azure Database for PostgreSQL, se deben proporcionar las credenciales de un usuario administrador. Este administrador se puede usar para crear más usuarios de base de datos.

En el caso de Azure Virtual Machines o las aplicaciones web que se ejecutan en Azure App Service y se usan para tener acceso al servidor de Azure Database for PostgreSQL, use Managed Service Identity junto con Azure Key Vault para almacenar y recuperar las credenciales del servidor de Azure Database for PostgreSQL. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

Use las identidades administradas para proporcionar a los servicios de Azure una identidad administrada automáticamente en Azure AD. Las identidades administradas le permiten autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluyendo Key Vault, sin necesidad de credenciales en el código.

• Configuración de las identidades administradas

• Integración con identidades administradas de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

• Configuración del escáner de credenciales

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Database for PostgreSQL), pero no se ejecuta en el contenido del cliente.

Examine previamente el contenido que se carga en recursos de Azure que no son de proceso, como App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, etc. Microsoft no tiene acceso a los datos de estas instancias.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía:Azure Database for PostgreSQL copias de seguridad de los archivos de datos y el registro de transacciones. En función del tamaño de almacenamiento máximo admitido, se realizan copias de seguridad completas y diferenciales (servidores de almacenamiento de 4 TB como máximo) o copias de seguridad de instantánea (servidores de almacenamiento de 16 TB como máximo). Estas copias de seguridad permiten restaurar un servidor a un momento dado dentro del período de retención de copias de seguridad configurado. El período de retención predeterminado es siete días. Opcionalmente, puede configurarlo hasta 35 días. Todas las copias de seguridad se cifran mediante cifrado AES de 256 bits.

• Copia de seguridad de un servidor en Azure Database for PostgreSQL

• Descripción de la configuración inicial de Azure Database for PostgreSQL

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforPostgreSQL:

9.2: Realización de copias de seguridad completas del sistema y copias de seguridad de las claves administradas por el cliente

Guía: Azure Database for PostgreSQL crea automáticamente copias de seguridad del servidor y las almacena en el almacenamiento con redundancia local o geográfica en función de lo que elija el usuario. Las copias de seguridad pueden utilizarse para restaurar el servidor a un momento dado. Las copias de seguridad y las restauraciones son una parte esencial de cualquier estrategia de continuidad del negocio, ya que protegen los datos frente a daños o eliminaciones accidentales.

Si usa Azure Key Vault para almacenar las credenciales de las instancias de Azure Database for PostgreSQL, asegúrese de realizar copias de seguridad automatizadas de las claves.

• Copia de seguridad de un servidor en Azure Database for PostgreSQL

• Procedimiento para realizar copias de seguridad de claves de Key Vault

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.DBforPostgreSQL:

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: En Azure Database for PostgreSQL, al realizar una restauración se crea un nuevo servidor a partir de las copias de seguridad del servidor original. Hay dos tipos de restauración disponibles: Restauración a un momento dado y geográfica. La restauración a un momento dado está disponible con cualquier opción de redundancia de copia de seguridad y crea un nuevo servidor en la misma región que el servidor original. La restauración geográfica solo está disponible si ha configurado el servidor para el almacenamiento con redundancia geográfica y le permite restaurar el servidor en otra región.

El tiempo estimado de recuperación depende de varios factores, como el tamaño de la bases de datos, el tamaño del registro de transacciones, el ancho de banda de red y el número total de bases de datos que se están recuperando en la misma región al mismo tiempo. Normalmente, el tiempo de recuperación es inferior a 12 horas.

Pruebe periódicamente la restauración de las instancias de Azure Database for PostgreSQL.

• Copia de seguridad de un servidor en Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía:Azure Database for PostgreSQL copias de seguridad completas, diferenciales y del registro de transacciones. Estas copias de seguridad permiten restaurar un servidor a un momento dado dentro del período de retención de copias de seguridad configurado. El período de retención predeterminado es siete días. Opcionalmente, puede configurarlo hasta 35 días. Todas las copias de seguridad se cifran mediante cifrado AES de 256 bits.

• Descripción de la copia de seguridad y restauración en Azure Database for PostgreSQL

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

• Configuración de las automatizaciones de flujo de trabajo en Microsoft Defender para la nube

• Guía para crear su propio proceso de respuesta a incidentes de seguridad

• Anatomía de un incidente del Centro de respuestas de seguridad de Microsoft

• El cliente también puede usar la guía de control de incidentes de seguridad de equipos de NIST como referencia para la creación de su propio plan de respuesta a incidentes

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en la métrica usada para emitir la alerta, así como en el nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no producción) y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

• Consulte la publicación de NIST: Guía para probar, entrenar y ejecutar programas para planes y funcionalidades de TI

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

• Cómo establecer el contacto de Seguridad en la nube de Microsoft Defender

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas de Microsoft Sentinel.

• Configuración de la exportación continua

• Transmisión de alertas a Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

• Configuración de la automatización de flujo de trabajo y Logic Apps

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía:Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft:

• Aquí encontrará más información sobre la estrategia y puesta en marcha de un equipo rojo de Microsoft, y las pruebas de penetración en sitios activos de la infraestructura en la nube, las aplicaciones y los servicios administrados por Microsoft

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.