Base de referencia de seguridad de Azure para Site Recovery

Esta línea base de seguridad aplica las instrucciones de Azure Security Benchmark, versión 2.0 a Site Recovery. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa según los controles de seguridad definidos en Azure Security Benchmark y las directrices relacionadas aplicables a Site Recovery.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Site Recovery y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo se asigna por completo Site Recovery a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Site Recovery.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Microsoft Azure Site Recovery no admite la implementación directamente en una red virtual. Por lo tanto, no se pueden aplicar determinadas características de redes con los recursos de la oferta, como:

  • Grupos de seguridad de red (NSG).
  • Tablas de ruta.
  • Otros dispositivos dependientes de la red, como Azure Firewall.

En el caso de las máquinas virtuales de Azure que necesitan comunicarse con Site Recovery, permita el acceso saliente al puerto 443 para acceder a determinados nombres de dominio completos (FQDN) regionales o al usar etiquetas de servicio.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: mediante Azure ExpressRoute o la red privada virtual (VPN) de Azure, cree conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las conexiones a Internet típicas, las conexiones ExpressRoute ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para VPN de punto a sitio y VPN de sitio a sitio, conecte los dispositivos o redes locales a una red virtual. Use cualquier combinación de estas opciones de VPN y ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. El tráfico de red se mantiene en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: use Azure Private Link para habilitar el acceso privado a los almacenes de Recovery Services desde sus redes virtuales sin usar Internet. El acceso privado es otra medida de defensa en profundidad que se puede usar con la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure. Site Recovery no proporciona la funcionalidad de configurar puntos de conexión de servicio de red virtual. Es un servicio de plataforma como servicio (PaaS) multiinquilino.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: mediante las etiquetas de servicio de red virtual de Azure, defina los controles de acceso a la red en Azure Firewall o en los NSG configurados para sus recursos de Site Recovery. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio "AzureSiteRecovery" en el campo de origen o destino de la regla apropiada, permita o deniegue el tráfico para el servicio correspondiente. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Site Recovery no expone sus configuraciones DNS subyacentes. Microsoft mantiene esta configuración.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Site Recovery usa Azure Active Directory (Azure AD) como servicio predeterminado de administración de identidades y acceso. Estandarice Azure AD para gobernar la administración de identidades y acceso de la organización en:

  • Recursos de la nube de Microsoft, por ejemplo:

    • Azure portal
    • Infraestructura como servicio (IaaS)
    • PaaS
    • Aplicaciones de software como servicio (SaaS)
  • Los recursos de la organización, como las aplicaciones en Azure o los recursos de la red corporativa. Haga que la protección de Azure AD sea una prioridad alta en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad, lo que le ayuda a evaluar la posición de seguridad de las identidades en relación con los procedimientos recomendados de Microsoft. Use esta puntuación para medir el nivel de coincidencia entre su configuración y los procedimientos recomendados. A continuación, realice mejoras en la posición de seguridad. Nota: Azure AD admite identidades externas. Por lo tanto, los usuarios que no tengan una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa. Site Recovery proporciona tres roles integrados para controlar las operaciones de administración de Site Recovery:

  • Colaborador de Site Recovery

  • Operador de Site Recovery

  • Lector de Site Recovery

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Site Recovery admite identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, use identidades administradas con Site Recovery. Site Recovery puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. Se autentica a través de una regla predefinida de concesión de acceso sin usar credenciales codificadas de forma rígida en archivos de configuración o código fuente.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Site Recovery usa Azure AD para proporcionar administración de identidades y acceso a:

  • Recursos de Azure
  • Aplicaciones en la nube
  • Aplicaciones locales

Entre las identidades que pueden usar Azure AD para autenticarse en Site Recovery, se incluyen:

  • Identidades de empresa, como los empleados.
  • Identidades externas, como:
    • Asociados
    • Proveedores
    • Suppliers

Con esta administración, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de la organización. El inicio de sesión único se aplica tanto en el entorno local como en la nube. Para un acceso seguro y sin problemas, y una mayor visibilidad y control, conecte a Azure AD todos los recursos siguientes:

  • Usuarios
  • Aplicaciones
  • Dispositivos

Para más información, consulte el artículo siguiente:

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: para identificar credenciales dentro de las plantillas de Azure Resource Manager para Site Recovery, implemente el analizador de credenciales de Azure DevOps. El analizador de credenciales también fomenta el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault. Para GitHub, use la característica nativa de examen de secretos. Esta característica identifica las credenciales u otras formas de secretos dentro del código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios que están asignados a estos dos roles pueden delegar roles de administrador: Administrador global o Administrador de empresa. Los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD. Estos usuarios también tienen acceso a los servicios que usan identidades de Azure AD. Administrador de roles con privilegios. Los usuarios con este rol pueden administrar asignaciones de roles en Azure AD y dentro de Azure AD Privileged Identity Management (PIM). Este rol también permite la administración de todos los aspectos de PIM y las unidades administrativas. Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que haya otros roles críticos que tenga que gobernar. Es posible que también quiera aplicar controles similares a la cuenta de administrador de los recursos empresariales críticos. Limite el número de cuentas o roles con privilegios elevados. Proteja estas cuentas en un nivel elevado. Directa o indirectamente, los usuarios con este privilegio pueden leer y modificar todos los recursos del entorno de Azure. Con Azure AD PIM, habilite el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y Azure AD. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. Cuando haya actividades sospechosas o no seguras en la organización de Azure AD, PIM también puede generar alertas de seguridad.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Site Recovery usa cuentas de Azure AD y RBAC de Azure para conceder permisos a sus recursos. Revise periódicamente las cuentas de usuario y las asignaciones de acceso para asegurarse de que las cuentas de usuario y su acceso sean válidos. Use Azure AD y las revisiones de acceso para revisar:

  • Pertenencias a grupos
  • Acceso a aplicaciones empresariales
  • Asignaciones de roles

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Para ayudar en el proceso de revisión, use también Azure AD PIM para crear flujos de trabajo de informes para las revisiones de acceso.

Asimismo, puede configurar Azure PIM para que alerte cuando se cree un número excesivo de cuentas de administrador. O bien, configúrelo para identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administradores
  • Desarrolladores
  • Operadores de servicios críticos

Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada, use:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Puede administrar de forma centralizada las estaciones de trabajo protegidas para aplicar una configuración protegida, que incluye:

  • Autenticación sólida.
  • Bases de referencia de software y hardware.
  • Acceso lógico y de red restringido.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Site Recovery se integra con RBAC de Azure para administrar sus recursos. RBAC de Azure le permite administrar el acceso a los recursos de Azure mediante asignaciones de roles. Asigne estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Puede hacer un inventario o consultar estos roles a través de herramientas, como:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque JIT de Azure AD PIM y se debe revisar periódicamente.

Site Recovery se integra con RBAC de Azure para permitir el uso de roles integrados y personalizados, lo que le permite administrar el acceso a los recursos. Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía: Site Recovery no dispone de funcionalidades para clasificar los datos. Puede organizar los datos usted mismo mediante:

  • Uso de diferentes almacenes de Recovery Services.
  • Adjuntar etiquetas a esos almacenes según su contenido.

Para más información, consulte el artículo siguiente:

Responsabilidad: Customer

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales restringiendo el acceso mediante:

  • Azure RBAC.
  • Controles de acceso basados en red.
  • Controles específicos en los servicios de Azure, como el cifrado en SQL y otras bases de datos. Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación de la empresa. Además, informe la estrategia de segmentación de su empresa con la ubicación de los sistemas y datos confidenciales o críticos para la empresa.

En la plataforma subyacente administrada por Microsoft, se trata todo el contenido del cliente como confidencial. Esto sirve de protección frente a la pérdida y exposición de datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado, de manera predeterminada, algunos controles y funcionalidades de protección de datos.

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico). Use el cifrado para que los atacantes no puedan leer ni modificar fácilmente los datos.

Site Recovery admite el cifrado de datos en tránsito con Seguridad de la capa de transporte (TLS) v1.2 o superior.

Aunque el cifrado es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Para el tráfico HTTP, asegúrese de que cualquier cliente que se conecte a los recursos de Azure pueda negociar TLS v1.2 o superior. Para la administración remota, en lugar de un protocolo sin cifrar, use Secure Shell (SSH) para Linux. O bien, utilice el Protocolo de escritorio remoto (RDP) y TLS para Windows. A continuación, deshabilite:

  • Versiones obsoletas de:
    • Capa de sockets seguros (SSL)
    • TLS
    • SSH
  • Cifrados débiles

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Site Recovery cifra los datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esta práctica ayuda a garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos muy confidenciales, puede implementar más cifrado en reposo en todos los recursos de Azure donde esté disponible. Azure administra las claves de cifrado de manera predeterminada. Pero Azure proporciona opciones para administrar sus propias claves (claves administradas por el cliente) en el caso de determinados servicios de Azure.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: conceda a los equipos de seguridad los permisos de Lector de seguridad en el inquilino y las suscripciones de Azure. A continuación, los equipos pueden supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de cómo estructure las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local podrían ser responsables de supervisar los riesgos de seguridad. Agregue la información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad ampliamente, a todo un inquilino (grupo de administración raíz). O bien, puede determinar el ámbito en grupos de administración o suscripciones específicas.

Nota: Para obtener visibilidad de las cargas de trabajo y los servicios, es posible que se necesiten permisos adicionales.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad puedan acceder a un inventario de recursos actualizado continuamente en Azure, como Site Recovery. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es una entrada para las mejoras de seguridad continuas. Cree un grupo de Azure AD para que contenga al equipo de seguridad autorizado de la organización. Asigne al equipo acceso de lectura a todos los recursos de Azure App Configuration. Puede simplificar estas acciones con una única asignación de roles general dentro de la suscripción.

Para organizarlos lógicamente en una taxonomía, aplique etiquetas a los siguientes elementos:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: mediante Azure Policy, audite y restrinja qué servicios pueden aprovisionar los usuarios en el entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Use también Azure Monitor para crear reglas que desencadenen alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: use la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. Habilite Microsoft Defender para los recursos de Site Recovery. Microsoft Defender para Site Recovery ofrece otra capa de inteligencia de seguridad. Detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos de Site Recovery o vulnerarlos.

Site Recovery genera registros de actividad y de recursos. Con estos registros, puede auditar las acciones en los recursos de Azure y detectar amenazas. Reenvíe los registros de Site Recovery a su SIEM, que podrá usar para configurar detecciones de amenazas personalizadas. Supervise los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad, para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de los datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario:

  • Inicios de sesión. El informe de inicios de sesión proporciona información sobre el uso de las aplicaciones administradas y las actividades de inicio de sesión de usuario.

  • Registros de auditoría. Los registros de auditoría proporcionan trazabilidad mediante los registros de todos los cambios realizados por diversas características en Azure AD. Entre los ejemplos, se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:

    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que podría no ser el propietario legítimo de la cuenta de usuario.

  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Puede ver los registros en los informes de Azure AD. Para casos de uso de supervisión y análisis más sofisticados, puede integrar los registros con:

  • Azure Monitor
  • Microsoft Sentinel
  • Otras herramientas de SIEM o supervisión

Microsoft Defender for Cloud también puede alertar sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de:

  • Recursos de procesos individuales de Azure (máquinas virtuales, contenedores y App Service)
  • Recursos de datos (base de datos SQL y almacenamiento)
  • Capas de servicio de Azure

Con esta funcionalidad, puede ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos de Site Recovery. Los registros de actividad están disponibles automáticamente, pero no contienen operaciones de lectura (GET). Use los registros de actividad para buscar un error durante la solución de problemas. O bien, use los registros para supervisar de qué manera ha modificado un recurso un usuario de su organización.

Habilite los registros de recursos de Azure para Site Recovery. Para habilitar los registros de recursos y la recopilación de los datos de registro, use Microsoft Defender for Cloud y Azure Policy. Estos registros pueden ser críticos para la investigación posterior de incidentes de seguridad y la realización de ejercicios forenses.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Para cada origen de registro, asigne:

  • Propietario de datos
  • Guía de acceso
  • Ubicación de almacenamiento
  • Herramientas que se usan para procesar y acceder a los datos
  • Requisitos de retención de datos

Integre los registros de actividades de Azure en su registro central. Realice la ingesta de los registros a través de Azure Monitor para agregar los datos de seguridad generados por:

  • Dispositivos de punto de conexión
  • Recursos de red
  • Otros sistemas de seguridad

En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. A continuación, use cuentas de Azure Storage para el almacenamiento de archivado a largo plazo.

Además, habilite e incorpore datos en Microsoft Sentinel o en un SIEM de terceros. Muchas organizaciones optan por usar Microsoft Sentinel para los datos "calientes" de acceso frecuente. Luego, las organizaciones pueden elegir Azure Storage para los datos "fríos" que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: para las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros de Site Recovery, establezca el período de retención de registros de acuerdo a la normativa de cumplimiento de la organización.

En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Para el almacenamiento de archivado a largo plazo, use cuentas de:

  • Azure Storage
  • Azure Data Lake Storage
  • Área de trabajo de Log Analytics

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Site Recovery no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Site Recovery se basa en los orígenes de sincronización horaria de Microsoft. La configuración no está expuesta a los clientes.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Site Recovery admite directivas específicas del servicio. Estas directivas están disponibles en Microsoft Defender for Cloud para auditar y aplicar configuraciones de los recursos de Azure. Puede cambiar las configuraciones en Microsoft Defender for Cloud o en iniciativas de Azure Policy.

Para supervisar y aplicar configuraciones seguras del almacén de Recovery Services, asigne definiciones de Azure Policy integradas y personalizadas. ¿Las definiciones integradas no cumplen sus requisitos? A continuación, use los alias de Azure Policy del espacio de nombres "Microsoft.RecoveryServices". Con estos alias, puede crear directivas personalizadas para auditar o aplicar la configuración de los almacenes de Recovery Services.

Mediante una definición de Azure Blueprints, automatice la implementación y configuración de servicios y entornos de aplicación, incluidos:

  • Plantillas del Administrador de recursos de Azure
  • Controles de RBAC de Azure
  • Directivas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Site Recovery permite supervisar y aplicar sus configuraciones mediante Azure Policy. Las configuraciones incluyen opciones para:

  • Almacenes, incluido el uso de puntos de conexión privados para los almacenes.
  • Ofertas de recuperación ante desastres (DR) en cargas de trabajo de Azure.
  • Implementaciones de diagnóstico.

Supervise y aplique configuraciones seguras del almacén de Recovery Services. Asigne definiciones de Azure Policy integradas y personalizadas. ¿Las definiciones integradas no cumplen sus requisitos? A continuación, use los alias de Azure Policy del espacio de nombres "Microsoft.RecoveryServices" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de los almacenes de Recovery Services.

Use Microsoft Defender for Cloud para supervisar la línea base de configuración. Con las definiciones "Deny" y "DeployIfNotExists" de Azure Policy, aplique la configuración segura en todos los recursos de proceso de Azure, incluidos:

  • Máquinas virtuales
  • Contenedores
  • Otros

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Site Recovery.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Site Recovery no proporciona la funcionalidad de admitir la corrección de software automáticamente. Para la plataforma subyacente que admite Azure Backup, Microsoft controla:

  • Puntos vulnerables
  • Valoraciones
  • Correcciones

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos. Para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-2: Cifrado de los datos de copia de seguridad

Guía: Site Recovery admite el cifrado en reposo para los datos de la carga de trabajo. En el caso de las cargas de trabajo en la nube, los datos se cifran en reposo de manera predeterminada, mediante Storage Service Encryption (SSE) y claves administradas por Microsoft. Para cumplir los requisitos normativos, Site Recovery también proporciona opciones para administrar sus propias claves (claves administradas por el cliente).

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.RecoveryServices:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 2.0.0

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Site Recovery proporciona funcionalidades de recuperación para cargas de trabajo de proceso. Pero no admite ninguna copia de seguridad de los datos por sí mismo. Los clientes pueden cifrar sus datos almacenados con una clave administrada por el cliente. Cuando use claves administradas por el cliente, asegúrese de que puede restaurarlas. Habilite también la eliminación temporal en cada almacén de claves que almacene las claves.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y recuperarlas. Para proteger las claves frente a la eliminación accidental o malintencionada, habilite la eliminación temporal y la protección de purga en Key Vault.

Responsabilidad: Customer

Pasos siguientes