Línea base de seguridad de Azure para Azure Resource Graph

Esta línea base de seguridad aplica la guía de la versión 2.0 de Azure Security Benchmark a Azure Resource Graph. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Resource Graph.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Resource Graph y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo se asigna por completo Azure Resource Graph a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Azure Resource Graph.

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Resource Graph usa Azure Active Directory (Azure AD) como servicio predeterminado de administración de identidad y acceso. Estandarice Azure AD para controlar la administración de identidad y acceso de su organización en:

  • Recursos de Microsoft Cloud. Los recursos incluyen:

    • El Portal de Azure

    • Azure Storage

    • Máquinas virtuales de Linux y Windows de Azure

    • Azure Key Vault

    • Plataforma como servicio (PaaS)

    • Aplicaciones de software como servicio (SaaS)

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas, que permiten a los usuarios que no tienen un cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos.

Los clientes se comunican con Azure Resource Graph a través de Azure Resource Manager. Los clientes deben proporcionar un token de Azure AD válido para todas sus comunicaciones.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: conectar los usuarios, aplicaciones y dispositivos a Azure AD. Azure AD ofrece un acceso seguro y sin problemas, así como mayor visibilidad y control. Azure Resource Graph usa Azure AD para proporcionar administración de identidad y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Las identidades incluyen identidades de empresa, como los empleados, e identidades externas, como asociados y proveedores. La administración de identidades y acceso de Azure AD proporciona inicio de sesión único (SSO) para administrar y proteger el acceso a los recursos y los datos locales y en la nube de su organización.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-7: seguimiento del principio de privilegios mínimos de Just Enough Administration

Guía: Azure Resource Graph se integra en Azure RBAC para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal. Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use los roles integrados para asignar permisos, y cree solo roles personalizados cuando sea necesario.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Instrucciones: No aplicable. Azure Resource Graph no admite ninguna cuenta de administración basada en roles.

Azure Resource Graph no almacena datos accesibles para el cliente. Microsoft puede acceder a los metadatos de recursos de la plataforma durante un caso de soporte técnico abierto, sin usar otra herramienta.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: asegúrese de que el equipo de seguridad tiene visibilidad sobre los riesgos de los recursos

Guía: asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en las suscripciones y el inquilino de Azure, para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar los permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino completo o definir el ámbito de los permisos a suscripciones o grupos de administración específicos.

Nota: la obtención de visibilidad de las cargas de trabajo y los servicios puede requerir más permisos.

Responsabilidad: Customer

AM-2: asegúrese de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos

Guía: asegúrese de que los equipos de seguridad tienen acceso a un inventario de recursos en Azure actualizado continuamente, como Azure Resource Graph. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure AD para que contenga al equipo de seguridad autorizado de la organización. y asígnele acceso de lectura a todos los recursos de Azure Resource Graph. Puede simplificar el proceso con una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de Azure Virtual Machine para automatizar la recopilación de información sobre software en máquinas virtuales (VM). El nombre del software, la versión, el editor y la hora de actualización están disponibles en Azure Portal. Para acceder a las fechas de instalación y otra información, habilite los diagnósticos de nivel de invitado e importe los registros de eventos de Windows en un área de trabajo de Log Analytics.

Azure Resource Graph no permite ejecutar una aplicación ni instalar software en sus recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y descubrir recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. Puede integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas SIEM y de supervisión para casos de uso complejos de supervisión y análisis.

  • Inicios de sesión: proporcionan información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados con diversas características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso dentro de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de un intento de inicio de sesión, por parte de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuario marcado como en riesgo: indicador de que una cuenta de usuario puede estar en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación fallidos. Las cuentas en desuso de la suscripción también pueden desencadenar alertas. Microsoft Defender for Cloud también puede alertar sobre actividades sospechosas, como un número excesivo de intentos de autenticación erróneos, o sobre cuentas en desuso.

Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud puede recopilar alertas de seguridad más detalladas de:

  • Recursos de proceso individuales de Azure, como máquinas virtuales, contenedores y servicios de aplicaciones

  • Recursos de datos, como Azure SQL Database y Azure Storage

  • Capas de servicio de Azure

Esta funcionalidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales y los contenedores.

Responsabilidad: Customer

Pasos siguientes