Línea de base de seguridad de Azure para Azure Resource Manager

Esta línea de base de seguridad aplica la guía de la versión 2.0 de Azure Security Benchmark en Microsoft Azure Resource Manager. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Resource Manager.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Resource Manager y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Resource Manager se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de la línea de base de seguridad de Azure Resource Manager.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Azure Resource Manager es un servicio de implementación y administración. No admite la implementación directa en una red virtual. Azure Resource Manager no puede usar características de red como grupos de seguridad de red, tablas de rutas o dispositivos dependientes de la red como Azure Firewall.

Se recomienda usar TLS v1.2 o una versión posterior al conectarse a Azure Resource Manager.

Nota: El servicio admite TLS v1.1 para la compatibilidad con versiones anteriores.

Debe comunicarse con Azure Resource Manager a través del puerto 443.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Use Azure Private Link para habilitar el acceso privado a Azure Resource Manager desde sus redes virtuales sin usar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.

Private Links para Azure Resource Manager está en versión preliminar privada.

Azure Resource Manager no proporciona la capacidad de configurar los puntos de conexión de servicio de red virtual.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Azure Resource Manager es un servicio de implementación y administración, y Microsoft controla la protección de sus puntos de conexión frente a ataques de red externos. Azure Resource Manager no admite la implementación directamente en una red virtual. Resource Manager no puede usar las características de red tradicionales para evitar ataques por denegación de servicio (DDoS) con características de red nativas de Azure como DDoS Protection estándar.

Azure Resource Manager no está diseñado para ejecutar aplicaciones web. Además, no es necesario que defina ninguna configuración adicional ni que implemente ningún servicio de red adicional para protegerlo de ataques de red externos dirigidos a aplicaciones web.

Responsabilidad: Microsoft

NS-6: simplificación de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de Azure Resource Manager en los grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique el nombre de la etiqueta de servicio en el campo de origen o destino de la regla adecuada para permitir o denegar el tráfico. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Puede usar la etiqueta de servicio AzureResourceManager para configurar reglas de red en grupos de seguridad de red o instancias de Azure Firewall.

Responsabilidad: Compartido

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Azure Resource Manager no expone sus configuraciones DNS subyacentes. Microsoft mantiene esta configuración.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Azure Resource Manager permite a los clientes implementar recursos mediante plantillas de infraestructura como código (IaC) que pueden contener secretos. Se recomienda implementar Credential Scanner para los repositorios que hospedan plantillas de ARM. Le ayudará a identificar y evitar las credenciales dentro del código. Credential Scanner también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub puede usar la herramienta nativa de escaneo de secretos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Compartido

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure Resource Manager usa las cuentas de Azure AD para administrar sus recursos y revisar las cuentas de usuario. Azure AD accede a las asignaciones con regularidad para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones de acceso de Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Use Azure AD Privileged Identity Management para crear un flujo de trabajo de informe de revisión de acceso para facilitar el proceso de revisión.

Azure Resource Manager admite los siguientes roles de Azure RBAC integrados:

  • Colaborador: Concede acceso total para administrar todos los recursos, pero no le permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes.

  • Propietario: Concede acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC.

  • Lector: Puede ver todo recursos, pero no realizar cambios

  • Administrador de acceso de usuario: Permite administrar el acceso de los usuarios a los recursos de Azure.

Además, puede configurar Azure Privileged Identity Management para enviar una alerta cuando se cree un número de cuentas de administrador excesivo y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Resources:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas en desuso deben quitarse de la suscripción Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de propietario deben quitarse de la suscripción Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de lectura deben quitarse de la suscripción Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de escritura deben quitarse de la suscripción Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure AD, Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar de forma centralizada las estaciones de trabajo protegidas Hágalo para aplicar una configuración segura que incluya una autenticación eficaz, líneas de base de software y hardware, y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure Resource Manager se integra en Azure RBAC para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos. Puede hacer un inventario de las consultas de los roles a través de herramientas como CLI de Azure, Azure PowerShell o Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este enfoque complementa el enfoque JIT de Azure AD PIM y debe revisarse periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

  • Colaborador: Concede acceso completo para administrar todos los recursos, pero no le permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes.

  • Propietario: Concede acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC.

  • Lector: Permite ver todos los recursos, pero no realizar ningún cambio.

  • Administrador de acceso de usuario: Permite administrar el acceso de los usuarios a los recursos de Azure.

Para más información, consulte:

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Authorization:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el uso de reglas de RBAC personalizadas Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.0

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Azure Resource Manager no admite la caja de seguridad del cliente. Para acceder a los datos de los clientes asociados a recursos de Azure Resource Manager, Microsoft puede trabajar con los clientes en escenarios de soporte técnico para su aprobación a través de otros métodos.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos en Azure actualizado continuamente, como Azure Resource Manager. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización y asígnele acceso de lectura a todos los recursos de Azure Resource Manager. Puede simplificar el proceso con una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Reenvíe los registros de Azure Resource Manager al sistema SIEM. Puede usar SIEM para configurar detecciones de amenazas personalizadas.

Asegúrese de supervisar los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad, para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de los datos de registro, agentes u otros datos.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Resources:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar Microsoft Defender para App Service Microsoft Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para servidores de Microsoft Azure SQL Database Microsoft Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Microsoft Defender para registros de contenedor Microsoft Defender para registros de contenedor proporciona análisis de vulnerabilidades de las imágenes extraídas en los últimos 30 días, insertadas en el registro o importadas, y expone los hallazgos detallados por imagen. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para DNS Microsoft Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Microsoft Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Microsoft Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Microsoft Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0-preview
Se debe habilitar Microsoft Defender para Key Vault Microsoft Defender para Key Vault proporciona un nivel adicional de protección y de inteligencia de seguridad, con la detección de intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para Kubernetes Microsoft Defender para Kubernetes proporciona protección en tiempo real contra amenazas para entornos en contenedores y genera alertas en caso de actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para Resource Manager Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos en su organización. Microsoft Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Microsoft Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Microsoft Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Microsoft Defender para servidores Microsoft Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para servidores SQL Server en las máquinas Microsoft Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. Puede integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas SIEM y de supervisión para casos de uso complejos de supervisión y análisis.

  • Inicios de sesión: proporcionan información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados con diversas características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso dentro de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de intentos de inicio de sesión de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados como en riesgo: un indicador de que una cuenta de usuario puede estar en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación erróneos o cuentas en desuso.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Resources:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar Microsoft Defender para App Service Microsoft Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para servidores de Microsoft Azure SQL Database Microsoft Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Microsoft Defender para registros de contenedor Microsoft Defender para registros de contenedor proporciona análisis de vulnerabilidades de las imágenes extraídas en los últimos 30 días, insertadas en el registro o importadas, y expone los hallazgos detallados por imagen. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para DNS Microsoft Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Microsoft Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Microsoft Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Microsoft Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0-preview
Se debe habilitar Microsoft Defender para Key Vault Microsoft Defender para Key Vault proporciona un nivel adicional de protección y de inteligencia de seguridad, con la detección de intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para Kubernetes Microsoft Defender para Kubernetes proporciona protección en tiempo real contra amenazas para entornos en contenedores y genera alertas en caso de actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para Resource Manager Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos en su organización. Microsoft Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Microsoft Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Microsoft Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Microsoft Defender para servidores Microsoft Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Microsoft Defender para servidores SQL Server en las máquinas Microsoft Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Azure Resource Manager, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Azure Resource Manager actualmente no genera registros de recursos de Azure.

Responsabilidad: Compartido

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros de actividad de Azure Resource Manager tienen el período de retención de registros establecido según la normativa de cumplimiento de la organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Resource Manager no admite la configuración de sus propios orígenes de sincronización de hora.

Azure Resource Manager se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación. Una única definición de plano técnico puede incluir plantillas de Azure Resources Manager, roles de Azure RBAC y asignaciones de Azure Policy.

use alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración de los recursos de Azure. También puede usar definiciones de Azure Policy integradas.

Azure Resource Manager tiene la capacidad de exportar la plantilla en notación de objetos JavaScript (JSON), que se debe revisar para asegurarse de que las configuraciones cumplan los requisitos de seguridad de la organización.

También puede usar las recomendaciones de Microsoft Defender for Cloud como una línea de base de configuración segura para los recursos de Azure.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Use Microsoft Defender for Cloud para supervisar la línea base de configuración y aplicar mediante [deny] y [deploy if not exist] de Azure Policy para aplicar la configuración segura en todos los recursos de proceso de Azure, incluidas máquinas virtuales, contenedores y otros.

Como administrador, también puede que tenga que bloquear una suscripción, un grupo de recursos o un recurso para impedir que otros usuarios de su organización eliminen o modifiquen accidentalmente recursos esenciales. Puede establecer el bloqueo de nivel en CanNotDelete o ReadOnly.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Resource Manager.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Microsoft realiza la administración de detecciones en los sistemas subyacentes que admiten Azure Resource Manager.

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción para pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

Responsabilidad: Compartido

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: No se puede usar la exportación de plantillas de Azure Resource Manager para capturar datos en reposo. En el caso de las configuraciones de recursos, se recomienda crear infraestructura a partir de plantillas de origen y, cuando sea necesario, volver a implementar desde esa fuente de confianza. La exportación de plantillas puede ayudar a iniciar ese proceso, pero no es lo suficientemente eficaz como para tener en cuenta la recuperación ante desastres.

Responsabilidad: Customer

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Asegúrese de que tiene la capacidad de realizar periódicamente la implementación de plantillas de Azure Resource Manager en una suscripción aislada si es necesario a través de la API, la CLI o Azure Portal.

Responsabilidad: Customer

Pasos siguientes