Línea de base de seguridad de Azure para Service Fabric

  • Artículo
  • Tiempo de lectura: 41 minutos

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 de Azure Security Benchmark a Service Fabric. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a Service Fabric.

Nota

Se han excluido los controles que no son aplicables a Service Fabric o cuya responsabilidad es de Microsoft. Para ver cómo Service Fabric se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de Service Fabric completo .

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: asegúrese de que todas las implementaciones de subred de Virtual Network tienen aplicado un grupo de seguridad de red con controles de acceso a la red específicos para los puertos y orígenes de confianza de su aplicación.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes y NIC

Guía:Use Microsoft Defender para la nube y corrija las recomendaciones de protección de red para la red virtual, la subred y el grupo de seguridad de red que se usan para proteger el clúster de Azure Service Fabric. Habilite los registros de flujo del grupo de seguridad de red y envíelos a una cuenta de Azure Storage para auditar el tráfico. También puede enviar registros de flujo de los grupos de seguridad de red a un área de trabajo de Azure Log Analytics y usar el Análisis de tráfico de Azure para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas de Análisis de tráfico de Azure son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.3: Proteja las aplicaciones web críticas

Guía: proporcione una puerta de enlace front-end para ofrecer un único punto de entrada para usuarios, dispositivos u otras aplicaciones. Azure API Management se integra directamente con Service Fabric, lo que le permite proteger el acceso a los servicios de back-end, evitar ataques de DOS mediante la limitación y comprobar las claves de API, los tokens JWT, los certificados y otras credenciales.

Considere la posibilidad de implementar el firewall de aplicaciones web (WAF) de Azure delante de las aplicaciones web críticas para la inspección adicional del tráfico entrante. Habilite la configuración de diagnóstico para WAF e ingiera los registros en una cuenta de almacenamiento, un centro de eventos o un área de trabajo de análisis de registros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Deniegue las comunicaciones con direcciones IP malintencionadas conocidas

Instrucciones: para protegerse de los ataques DDoS, habilite la protección estándar de DDoS de Azure en la red virtual donde está implementada su instancia de Azure Service Fabric. Use La inteligencia sobre amenazas integrada de Microsoft Defender para la nube para denegar las comunicaciones con direcciones IP de Internet malintencionadas o no usadas conocidas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: habilite los registros de flujo del grupo de seguridad de red para los grupos de seguridad de red conectados a la subred que se usa para proteger el clúster de Service Fabric. Anote los registros de flujo del grupo de seguridad de red en una cuenta de Azure Storage para generar registros de flujo. Si es necesario para investigar actividades anómalas, habilite la captura de paquetes de Azure Network Watcher.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Guía: Seleccione una oferta de Azure Marketplace que admita la funcionalidad de IDS/IPS con funcionalidades de inspección de carga. Si la detección y/o la prevención de intrusiones basadas en la inspección de carga no es un requisito, se puede usar Azure Firewall con la inteligencia sobre amenazas. El filtrado basado en inteligencia sobre amenazas de Azure Firewall puede alertar y denegar el tráfico desde y hacia los dominios y las direcciones IP malintencionados conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft.

Implemente la solución de firewall que prefiera en cada uno de los límites de red de su organización para detectar y/o denegar el tráfico malintencionado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.7: Administre el tráfico a las aplicaciones web

Instrucciones: Implemente Application Gateway de Azure para las aplicaciones web con HTTPS/SSL habilitado para los certificados de confianza.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: use etiquetas de servicio de red virtual para definir controles de acceso de red en los grupos de seguridad de red (NSG) que están conectados a la subred en la que está implementado el clúster de Azure Service Fabric. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: defina e implemente configuraciones de seguridad estándar para los recursos de red relacionados con el clúster de Azure Service Fabric. Use alias de Azure Policy en los espacios de nombres "Microsoft.ServiceFabric" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red del clúster de Azure Service Fabric.

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos del entorno clave, como plantillas de Azure Resource Manager, controles de Azure RBAC y directivas, en una única definición de plano técnico. Aplique fácilmente el plano técnico a nuevas suscripciones y entornos, y ajuste el control y la administración mediante el control de versiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: use etiquetas para los grupos de seguridad de red y otros recursos relacionados con la seguridad de red y el flujo de tráfico que están asociados al clúster de Service Fabric. En el caso de reglas de grupos de seguridad de red individuales, use el campo "Descripción" para especificar la necesidad del negocio, la duración y otra información de cualquier regla que permita el tráfico hacia o desde una red.

Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los recursos no etiquetados existentes.

Puede usar Azure PowerShell o la interfaz de la línea de comandos (CLI) de Azure para buscar los recursos o realizar acciones en ellos en función de sus etiquetas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en estos relacionados con las implementaciones de Azure Service Fabric. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Instrucciones: puede incorporar el clúster de Azure Service Fabric a Azure Monitor para agregar datos de seguridad generados por el clúster. Vea un ejemplo de problemas en el diagnóstico y sus soluciones con Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: habilite Azure Monitor para el clúster de Service Fabric y diríjalo a un área de trabajo de Log Analytics. Esta acción registrará información y métricas del sistema operativo de interés para todos los nodos del clúster de Azure Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.4: Recopilación de registros de seguridad de sistemas operativos

Guía: Incorpore el clúster de Azure Service Fabric a Azure Monitor. Asegúrese de que el área de trabajo de Log Analytics usada tenga el período de retención de registros establecido de acuerdo con la normativa de cumplimiento de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: incorpore el clúster de Service Fabric a Azure Monitor. Asegúrese de que el área de trabajo de Log Analytics usada tenga el período de retención de registros establecido de acuerdo con la normativa de cumplimiento de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Guía: use las consultas del área de trabajo de Azure Log Analytics para consultar los registros de Azure Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía: use el área de trabajo de Azure Log Analytics para supervisar los registros de seguridad y eventos relacionados con el clúster de Azure Service Fabric y generar alertas sobre actividades anómalas en ellos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.8: Centralización del registro antimalware

Guía: De forma predeterminada, Windows Defender está instalado en Windows Server 2016. Consulte su documentación antimalware para obtener reglas de configuración si no utiliza Windows Defender. Windows Defender no es compatible con Linux.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.9: Habilitación del registro de consultas DNS

Guía: Implemente una solución de terceros para el registro de DNS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.10: Habilitación del registro de auditoría de la línea de comandos

Instrucciones: configure manualmente el registro de la consola por nodo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Instrucciones: mantenga el registro de la cuenta administrativa local que se crea durante el aprovisionamiento del clúster de Azure Service Fabric, así como de cualquier otra cuenta que cree. Además, si se usa la integración de Azure Active Directory (Azure AD), Azure AD tiene roles integrados que se deben asignar explícitamente y, por tanto, se pueden consultar. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc a fin de detectar cuentas que son miembros de grupos administrativos.

Además, puede usar Microsoft Defender para las recomendaciones de Administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: al aprovisionar un clúster, Azure le exige que cree contraseñas para el portal web. No hay contraseñas predeterminadas para cambiar; sin embargo, puede especificar otras contraseñas para el acceso al portal web.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: integre la autenticación de Service Fabric con Azure Active Directory (Azure AD). Cree directivas y procedimientos en torno al uso de cuentas administrativas dedicadas.

Además, puede usar Microsoft Defender para las recomendaciones de Administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Use el inicio de sesión único (SSO) con Azure Active Directory

Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use Microsoft Defender para las recomendaciones de Administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Use la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite la Azure Active Directory multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para la administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía:use la estación de trabajo de acceso con privilegios (PAW) con la autenticación multifactor configurada para iniciar sesión y configurar los clústeres Service Fabric y los recursos relacionados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: use Privileged Identity Management (PIM) de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzca una actividad sospechosa o insegura en el entorno. Además, use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Guía: use Azure Active Directory (Azure AD) como sistema central de autenticación y autorización para proteger el acceso a los puntos de conexión de administración de los clústeres de Service Fabric. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.ServiceFabric:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric Audit, Deny, Disabled 1.1.0

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: use la autenticación de Azure Active Directory (Azure AD) con el clúster de Azure Fabric. Azure AD proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Alerte de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: use los registros de inicio de sesión y auditoría de Azure Active Directory (Azure AD) para supervisar los intentos de acceso a cuentas desactivadas; estos registros se pueden integrar en cualquier herramienta de SIEM o de supervisión de terceros.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Azure Log Analytics. Configure las alertas deseadas en el área de trabajo de Azure Log Analytics.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten relacionadas con las identidades de los usuarios. También puede ingerir datos en Microsoft Sentinel para una investigación más exhaustiva.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Guía: use etiquetas en los recursos relacionados con las implementaciones de clústeres de Service Fabric para ayudar a realizar un seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Los recursos deben separarse mediante una red virtual o subred, etiquetarse adecuadamente y protegerse con un grupo de seguridad de red o Azure Firewall. Los recursos que almacenan o procesan datos confidenciales deben estar suficientemente aislados. Para las máquinas virtuales que almacenan o procesan datos confidenciales, implemente la directiva y los procedimientos necesarios para desactivarlos cuando no estén en uso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Implemente una herramienta automatizada en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias al tiempo que alerta a los profesionales de seguridad de la información.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS 1.2 o superior.

Para la autenticación mutua de cliente a nodo de Service Fabric, use un certificado X.509 para la identidad del servidor y el cifrado TLS de la comunicación HTTP. Se puede instalar cualquier número de certificados adicionales en un clúster por motivos de seguridad de la aplicación, incluido el cifrado y descifrado de los valores de configuración de la aplicación y los datos entre nodos durante la replicación. Siga las recomendaciones de Microsoft Defender para la nube para el cifrado en reposo y el cifrado en tránsito, si procede.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Instrucciones: las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Storage ni los recursos de proceso. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Guía: en el caso de los clústeres de Service Fabric que almacenan o procesan información confidencial, marque el clúster y los recursos relacionados como confidenciales mediante etiquetas. Las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Storage ni los recursos de proceso. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.8: Cifrado de información confidencial en reposo

Guía: Use el cifrado en reposo en todos los recursos de Azure. Microsoft recomienda permitir que Azure administre las claves de cifrado, pero existe la opción de administrar sus propias claves en algunas instancias.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.ServiceFabric:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. Audit, Deny, Disabled 1.1.0

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en los recursos críticos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía: ejecute regularmente el servicio de análisis de errores de Service Fabric y los servicios de caos para simular errores en todo el clúster con el fin de evaluar la solidez y confiabilidad de los servicios.

Siga las recomendaciones de Microsoft Defender para la nube sobre cómo realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure y las imágenes de contenedor.

Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Guía: habilite las actualizaciones automáticas de imágenes del SO en los conjuntos de escalado de máquinas virtuales del clúster de Service Fabric.

Como alternativa, para probar primero las revisiones del SO antes de pasar a producción, use el desencadenador manual para las actualizaciones de imágenes del SO del conjunto de escalado. Tenga en cuenta que la opción de desencadenador manual no proporciona reversión integrada. Supervise las revisiones del SO mediante Update Management de Azure Automation.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Guía: habilite las actualizaciones automáticas de imágenes del SO en los conjuntos de escalado de máquinas virtuales del clúster de Azure Service Fabric. La aplicación de orquestación de revisiones (POA) es una solución alternativa pensada para clústeres de Service Fabric hospedados fuera de Azure. POA se puede usar con clústeres de Azure, con una sobrecarga de hospedaje adicional.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía: Exporte los resultados de análisis en intervalos coherentes y compare los resultados para comprobar que se han corregido las vulnerabilidades. Al usar administración de vulnerabilidades recomendaciones sugeridas por Microsoft Defender para la nube, puede dinamizar en el portal de la solución seleccionada para ver los datos de análisis históricos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Instrucciones: use un programa de puntuación de riesgos común (por ejemplo, Common Vulnerability Scoring System) o la clasificación de riesgos predeterminada proporcionada por su herramienta de examen de terceros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía:Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.). dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Instrucciones: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Instrucciones: Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: Defina los recursos de Azure y el software aprobados para los recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Instrucciones: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Use Azure Resource Graph para consultar o detectar recursos en las suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Instrucciones: implemente una solución de terceros para supervisar los nodos del clúster en busca de aplicaciones de software no aprobadas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.), incluidos los clústeres de Service Fabric, dentro de las suscripciones. Quite los recursos de Azure no aprobados que detecte. En el caso de los nodos de clúster de Service Fabric, implemente una solución de terceros para quitar software no aprobado o alertas sobre este.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.8: Uso exclusivo de aplicaciones aprobadas

Guía: en el caso de los nodos de clúster de Service Fabric, implemente una solución de terceros para impedir que se ejecute software no autorizado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.10: Mantenimiento de un inventario de títulos de software aprobados

Guía: en el caso de los nodos del clúster de Azure Service Fabric, implemente una solución de terceros para impedir que se ejecuten tipos de archivos no autorizados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Guía: Use configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: El software que se requiere para las operaciones empresariales, pero que puede suponer un riesgo mayor para la organización, debe aislarse en su propia máquina virtual o red virtual y estar lo suficientemente protegida con Azure Firewall o un grupo de seguridad de red.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: use alias de Azure Policy en el espacio de nombres "Microsoft.ServiceFabric" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red del clúster de Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.2: Establezca configuraciones del sistema operativo seguras

Guía: Microsoft administra y mantiene las imágenes del sistema operativo de Service Fabric. El cliente es responsable de implementar configuraciones seguras para el sistema operativo de los nodos del clúster.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: use los efectos [denegar] e [implementar si no existe] de Azure Policy para aplicar la configuración segura a los clústeres de Azure Service Fabric y los recursos relacionados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.4: Mantenga configuraciones del sistema operativo seguras

Guía: Microsoft administra y mantiene las imágenes del sistema operativo de los clústeres de Service Fabric. El cliente es responsable de implementar la configuración de estado en el nivel de sistema operativo.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones de personalizadas de Azure Policy, use Azure DevOps o Azure Repos para almacenar y administrar el código de forma segura.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Guía: Si usa imágenes personalizadas, use el control de acceso basado en rol de Azure (Azure RBAC) para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes. En el caso de las imágenes de contenedor, almacénelas en Azure Container Registry y aproveche Azure RBAC para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Instrucciones: use alias de Azure Policy en el espacio de nombres "Microsoft.ServiceFabric" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Instrucciones: use alias de Azure Policy en el espacio de nombres "Microsoft.ServiceFabric" para crear directivas personalizadas con el fin de auditar o aplicar la configuración del clúster de Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Guía:Use Microsoft Defender para la nube para realizar exámenes de línea de base para el sistema operativo y Docker Configuración contenedores.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Instrucciones: Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos para las aplicaciones en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: las identidades administradas se pueden usar en clústeres de Service Fabric implementados en Azure y para aplicaciones implementadas como recursos de Azure. Las identidades administradas permiten que se autentique en cualquier servicio que admita la autenticación de Azure Active Directory (Azure AD), como Key Vault, sin necesidad de usar credenciales en el código.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Guía: si usa cualquier código relacionado con la implementación de Azure Service Fabric, puede implementar Credential Scanner para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Use Azure Key Vault para girar automáticamente los certificados de clúster de Service Fabric.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Use software antimalware administrado centralmente

Instrucciones: De forma predeterminada, el antivirus Windows Defender está instalado en Windows Server 2016. La interfaz de usuario está instalada de forma predeterminada en algunas SKU, pero no es necesaria.

Consulte su documentación antimalware para obtener reglas de configuración si no utiliza Windows Defender. Windows Defender no es compatible con Linux.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Instrucciones: El servicio de copia de seguridad y restauración de Service Fabric permite realizar copias de seguridad de información almacenada en los servicios con estado de forma sencilla y automática. Realizar copias de seguridad de datos de aplicaciones de forma periódica es fundamental para evitar la pérdida de datos y la falta de disponibilidad de servicios. Service Fabric proporciona un servicio de restauración y copia de seguridad opcional, que le permite configurar la copia de seguridad periódica de Reliable Services con estado (incluidos los servicios de actor) sin tener que escribir ningún código adicional. También facilita la restauración de las copias de seguridad realizadas previamente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: habilite el servicio de restauración de copias de seguridad en el clúster de Service Fabric y cree directivas de copia de seguridad para realizar copias de seguridad de los servicios con estado periódicamente y a petición. Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: asegúrese de poder realizar la restauración desde el servicio de restauración de copias de seguridad revisando periódicamente la información de configuración de copia de seguridad y las copias de seguridad disponibles. Pruebe la restauración de la copia de seguridad de las claves administradas por el cliente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: las copias de seguridad del servicio de restauración de copias de seguridad de Service Fabric usan una cuenta de Azure Storage de la suscripción. Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para cifrar los datos de almacenamiento.

Si usa claves administradas por el cliente, asegúrese de que la eliminación temporal esté habilitada en Key Vault para evitar la eliminación accidental o malintencionada de las claves.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Guía: desarrolle una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en la métrica usada para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que condujo a la alerta.

Adicionalmente, marque las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Instrucciones: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Sentinel.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:Use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes