Base de referencia de seguridad de Azure para Azure Spring Cloud Service

Esta base de referencia de seguridad aplica la guía de la versión 2.0 de Azure Security Benchmark en Azure Spring Cloud Service. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos en Azure Security Benchmark y las directrices relacionadas aplicables a Azure Spring Cloud Service.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Spring Cloud Service y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Spring Cloud Service se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea de base de seguridad de Azure Spring Cloud Service.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: al implementar los recursos de Azure Spring Cloud Service, debe crear o usar una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación de empresa que se adapte a los riesgos empresariales. Si algún sistema incurre en un mayor riesgo para la organización, aíslelo dentro de su propia red virtual. Proteja suficientemente ese sistema con un grupo de seguridad de red (NSG) o Azure Firewall.

Al utilizar la protección de red adaptable de Microsoft Defender for Cloud, se recomiendan configuraciones de NSG que limiten los puertos y las IP de origen. Base las configuraciones en reglas de tráfico de red externas.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos mediante sus reglas de NSG. En el caso de aplicaciones específicas bien definidas (como una aplicación de tres niveles), esta regla puede ser una negación muy segura por defecto.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: mediante Azure ExpressRoute o la red privada virtual (VPN) de Azure, cree conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las conexiones a Internet típicas, las conexiones ExpressRoute ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

Para VPN de punto a sitio y VPN de sitio a sitio, conecte los dispositivos o redes del entorno local a una red virtual. Use cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. Este tipo de tráfico se mantiene en la red troncal de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.AppPlatform:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Spring Cloud debe usar la inserción de red Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. Audit, Disabled, Deny 1.0.0

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Azure Spring Cloud Service no permite que sus puntos de conexión de administración se protejan en una red privada con el servicio Private Link.

Azure Spring Cloud Service no proporciona la capacidad de configurar puntos de conexión de servicio de red virtual.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: proteja los recursos de Azure Spring Cloud Service frente a ataques de redes externas, como:

  • Ataques de denegación de servicio distribuido (DDoS).
  • Ataques específicos de la aplicación.
  • Tráfico de Internet no solicitado y potencialmente malintencionado.

Uso de Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Para proteger sus recursos frente a ataques DDoS, habilite la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Para proteger las aplicaciones que se ejecutan en Azure Spring Cloud Service frente a ataques de nivel de aplicación, use las funcionalidades de Web Application Firewall (WAF) en:

  • Azure Application Gateway
  • Azure Front Door
  • Azure Content Delivery Network

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

NS-5: implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS)

Guía: use el filtrado basado en inteligencia sobre amenazas de Azure Firewall para alertar o bloquear el tráfico desde y hacia dominios y direcciones IP malintencionados conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft. Cuando se requiera la inspección de las cargas, implemente un sistema de prevención de intrusiones y detección de intrusiones (IDS/IPS) desde Azure Marketplace con funcionalidades de inspección de cargas. También puede usar IDS/IPS basado en host o una solución de detección y respuesta de punto de conexión (EDR) basada en el host con un IDS/IPS basado en redes, o en lugar de este.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: mediante las etiquetas de servicio de red virtual de Azure, defina los controles de acceso a la red en Azure Firewall o en los NSG configurados para sus recursos de Azure Spring Cloud Service. Use etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino de la regla apropiada, permita o deniegue el tráfico para el servicio correspondiente. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como los siguientes:

  • DNS pendientes.
  • Ataques de amplificaciones de DNS
  • Ataques de tipo "poisoning" o suplantación de identidad de DNS

¿Qué ocurre si desea usar Azure DNS como servicio DNS autoritativo? A continuación, proteja los registros y zonas DNS frente a modificaciones accidentales o malintencionadas mediante el control de acceso basado en roles de Azure (Azure RBAC) y los bloqueos de recursos.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Spring Cloud Service usa Azure Active Directory (Azure AD) como un servicio de administración de identidades y acceso predeterminado de Azure. Estandarice Azure AD para controlar la administración de identidades y accesos de su organización en:

  • Recursos de Microsoft Cloud, por ejemplo:

    • Azure portal
    • Azure Storage
    • Azure Virtual Machines (Linux y Windows)
    • Azure Key Vault
    • Plataforma como servicio (PaaS)
    • Aplicaciones de software como servicio (SaaS)
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

Asegúrese de que la protección de Azure AD tenga la máxima prioridad en las prácticas de seguridad en la nube de su organización. Para ayudar a evaluar la posición de seguridad de las identidades frente a los procedimientos recomendados de Microsoft, Azure AD proporciona una puntuación de seguridad de la identidad. Use esta puntuación para medir el nivel de coincidencia entre la configuración y los procedimientos recomendados. A continuación, incorpore mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas. Los usuarios que no tengan una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Azure Spring Cloud tiene el rol integrado "Azure Spring Cloud Data Reader", que indica el acceso de "lectura" en los recursos del plano de datos de Azure Spring Cloud. ¿Qué ocurre si los clientes quieren permitir que otros usuarios accedan al plano de datos de Azure Spring Cloud? A continuación, los clientes pueden usar este rol y conceder el permiso a otros usuarios.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: el servicio Azure Spring Cloud admite identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, use identidades administradas con el servicio Azure Spring Cloud. El servicio Azure Spring Cloud se puede autenticar de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se produce a través de una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma rígida en archivos de configuración o código fuente.

¿Desea configurar entidades de servicio con credenciales de certificado y revertir a secretos de cliente? El servicio Azure Spring Cloud recomienda usar Azure AD para crear una entidad de servicio con permisos restringidos en el nivel de recurso. En ambos casos, Key Vault se puede usar con identidades administradas por Azure. El entorno en tiempo de ejecución (por ejemplo, una instancia de Azure Functions) puede recuperar la credencial del almacén de claves.

Responsabilidad: Compartido

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: el servicio Azure Spring Cloud usa Azure AD para proporcionar administración de identidades y acceso a:

  • Recursos de Azure
  • Aplicaciones en la nube
  • Aplicaciones locales

La administración de identidades y acceso incluye identidades empresariales, como empleados, e identidades externas, como:

  • Asociados
  • Proveedores
  • Suppliers

Con esta administración, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización. Puede aplicar el inicio de sesión único en el entorno local y en la nube. Para un acceso seguro y sin problemas y una mayor visibilidad y control, conecte a Azure AD todos los recursos siguientes:

  • Usuarios
  • Aplicaciones
  • Dispositivos

Para obtener más información, lea el artículo siguiente:

Responsabilidad: Customer

IM-4: Uso de controles con autenticación multifactor sólida para todo el acceso basado en Azure AD

Guía: el servicio Azure Spring Cloud utiliza Azure AD, que admite controles de autenticación sólida a través de la autenticación multifactor (MFA) y otros métodos seguros sin contraseña.

  • MFA. Habilitación de Azure AD DS. Para ver los procedimientos recomendados en la configuración de MFA, siga las recomendaciones de administración de identidades y acceso de Microsoft Defender for Cloud. En función de las condiciones de inicio de sesión y los factores de riesgo, MFA se puede aplicar en:

    • Todos los usuarios
    • Seleccionar usuarios
    • Nivel por usuario
  • Autenticación sin contraseña. hay tres opciones de autenticación sin contraseña disponibles, a saber,

    • Windows Hello para empresas
    • Aplicación Microsoft Authenticator
    • Métodos de autenticación locales, como tarjetas inteligentes

En cuanto a administradores y usuarios con privilegios, use el nivel más alto del método de autenticación sólida. A continuación, implemente la directiva de autenticación sólida adecuada para otros usuarios.

Responsabilidad: Customer

IM-5: Supervisión y alerta de anomalías de cuenta

Guía: el servicio Azure Spring Cloud se integra con Azure AD, que proporciona los siguientes orígenes de datos:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.

  • Registros de auditoría. Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características en Azure AD. Entre los ejemplos se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:

    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que podría no ser el propietario legítimo de la cuenta de usuario.

  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Estos orígenes de datos se pueden integrar con:

  • Azure Monitor
  • Microsoft Sentinel
  • Sistemas de administración de eventos e información de seguridad (SIEM) de terceros

Microsoft Defender for Cloud también puede alertarle sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción.

Azure Advanced Threat Protection (ATP) es una solución de seguridad. Puede usar señales de Active Directory para identificar, detectar e investigar:

  • Amenazas avanzadas
  • Identidades en peligro
  • Acciones internas malintencionadas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IM-6: Restricción del acceso a recursos de Azure en función de las condiciones

Guía: el servicio Azure Spring Cloud admite el acceso condicional de Azure AD para un control de acceso más pormenorizado basado en condiciones definidas por el usuario. Estas condiciones incluyen inicios de sesión de usuarios de determinados intervalos IP que necesitan iniciar sesión con MFA. También puede usar la directiva de administración de sesión de autenticación granular para distintos casos de uso. Estas directivas de acceso condicional solo se aplican a las cuentas de usuario que se autentican en Azure AD para acceder y administrar el servicio Azure Spring Cloud. Esas directivas no se aplican a entidades de servicio, claves o tokens que se usan para conectarse al recurso del servicio de Azure Spring Cloud.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: el servicio Azure Spring Cloud permite a los clientes implementar y ejecutar las siguientes entidades con identidades o secretos:

  • Código
  • Configuraciones
  • Datos persistentes

Implemente Credential Scanner para identificar las credenciales de esas entidades. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Key Vault.

En GitHub, puede usar la característica de análisis de secretos nativos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa

Guía: el servicio Azure Spring Cloud usa Azure RBAC para aislar el acceso a sistemas críticos para la empresa. Restringe las cuentas en las que se concede acceso con privilegios a las suscripciones y los grupos de administración en los que se encuentran.

Restrinja también el acceso a los sistemas de administración, identidad y seguridad con acceso administrativo a los controles de acceso críticos para la empresa, como:

  • Controladores de dominio de Active Directory.
  • Herramientas de seguridad.
  • Herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa.

Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.

Para garantizar un control de acceso coherente, alinee todos los controles de acceso con la estrategia de segmentación de la empresa.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: para asegurarse de que las cuentas de Azure AD y su acceso son válidos, el servicio Azure Spring Cloud usa estas cuentas para:

  • Administrar sus recursos.
  • Revisar las cuentas de usuario.
  • Acceder a las asignaciones con regularidad.

Use Azure AD y las revisiones de acceso para revisar:

  • Pertenencias a grupos
  • Acceso a aplicaciones empresariales
  • Asignaciones de roles

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Para asistir en el proceso de revisión, use también Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes para revisiones de acceso.

También puede configurar Azure AD PIM para que le alerte cuando se cree un número excesivo de cuentas de administrador. O configure la identificación de cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Azure Spring Cloud tiene el rol integrado "Azure Spring Cloud Data Reader". Este rol indica el acceso de "lectura" en los recursos del plano de datos en Azure Spring Cloud. ¿Qué ocurre si un cliente quiere permitir que otros usuarios accedan al plano de datos de Azure Spring Cloud? A continuación, el cliente puede usar este rol y conceder el permiso a otros usuarios.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-4: Configuración del acceso de emergencia en Azure AD

Guía: el servicio Azure Spring Cloud usa Azure AD para administrar sus recursos. ¿Desea evitar que le bloqueen accidentalmente su organización de Azure AD? A continuación, configure una cuenta de acceso de emergencia para el acceso cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia tienen privilegios elevados. No asigne estas cuentas a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.

Proteja las credenciales (como la contraseña, el certificado o la tarjeta inteligente) de las cuentas de acceso de emergencia. Revele las credenciales solo a las personas que estén autorizadas para usarlas en caso de emergencia.

Responsabilidad: Customer

PA-5: Automatización de la administración de derechos

Guía: el servicio Azure Spring Cloud está integrado con Azure AD para administrar sus recursos. Con las características de administración de derechos de Azure AD, automatice los flujos de trabajo de solicitudes de acceso, lo que incluye:

  • Acceso a las asignaciones
  • Revisiones
  • Expiration

También se admite la aprobación en dos o varias fases.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administrador
  • Desarrollador
  • Operador de servicios críticos

Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada, use uno o varios de los recursos siguientes:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Puede administrar de forma centralizada las estaciones de trabajo protegidas para aplicar la configuración protegida, lo que incluye:

  • Autenticación sólida
  • Líneas base de software y hardware
  • Acceso lógico y de red restringido

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: el servicio Azure Spring Cloud está integrado con Azure RBAC para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Asigne estos roles a:

  • Usuarios
  • Grupos
  • Entidades de servicio
  • Identidades administradas

Hay roles integrados predefinidos para ciertos recursos. Puede hacer un inventario o consultar estos roles a través de herramientas, como:

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Limite siempre los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM y se debe revisar periódicamente.

Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.

Azure Spring Cloud tiene el rol integrado "Azure Spring Cloud Data Reader", que indica el acceso de "lectura" en los recursos del plano de datos de Azure Spring Cloud. ¿Qué ocurre si un cliente quiere permitir que otros usuarios accedan a su plano de datos de Azure Spring Cloud? A continuación, el cliente puede usar este rol y conceder el permiso a otros usuarios.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía: no aplicable; el servicio Azure Spring Cloud administra el contenido del cliente, pero no puede permitir que los clientes detecten, clasifiquen ni etiqueten los datos.

Responsabilidad: Customer

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales restringiendo el acceso mediante:

  • Azure RBAC.
  • Controles de acceso basados en red.
  • Controles específicos en los servicios de Azure, como el cifrado.

Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación de la empresa. Informe a la estrategia de segmentación de su empresa sobre la ubicación de los sistemas y datos confidenciales o críticos para la empresa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial. Protege contra la pérdida y exposición de datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado algunos controles y funcionalidades de protección de datos predeterminados.

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

El servicio Azure Spring Cloud admite el cifrado de datos en tránsito con Seguridad de la capa de transporte (TLS) v1.2 o superior.

Aunque este cifrado es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS v1.2 o superior. Para la administración remota, en lugar de un protocolo sin cifrar, use uno de los siguientes:

  • Secure Shell (SSH) para Linux
  • Protocolo de escritorio remoto (RDP) y TLS para Windows

Deshabilite los cifrados débiles, además de las versiones obsoletas y los protocolos de:

  • Capa de sockets seguros (SSL)
  • TLS
  • SSH

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, el servicio Azure Spring Cloud cifra los datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esta práctica ayuda a garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: conceda a los equipos de seguridad los permisos de Lector de seguridad en el inquilino y las suscripciones de Azure. A continuación, los equipos pueden supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de cómo estructure las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local podrían ser responsables de supervisar los riesgos de seguridad. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad ampliamente a todo un inquilino (grupo de administración raíz). O bien puede limitarlos a grupos de administración o suscripciones específicas.

Nota: Es posible que se necesiten permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad pueden acceder a un inventario de recursos actualizado continuamente en Azure, como el servicio Azure Spring Cloud. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es una entrada para las mejoras de seguridad continuas. Cree un grupo Azure AD para que contenga el equipo de seguridad autorizado de la organización. Asigne al equipo acceso de lectura a todos los recursos del servicio Azure Spring Cloud. Puede simplificar estos pasos en una única asignación de funciones de alto nivel dentro de su suscripción.

Para organizarlos lógicamente en una taxonomía, aplique etiquetas a los siguientes elementos:

  • Recursos de Azure
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en Virtual Machines. En Azure Portal, están disponibles los siguientes elementos:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a las fechas de instalación y otra información, habilite los diagnósticos a nivel del invitado. A continuación, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Use controles de aplicaciones adaptables de Microsoft Defender for Cloud para especificar a qué tipos de archivo se aplica una regla o no.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: mediante Azure Policy, audite y restrinja qué servicios pueden aprovisionar los usuarios en el entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Cuando se detecte un servicio no aprobado, use Azure Monitor para crear reglas para desencadenar alertas.

Responsabilidad: Customer

AM-4: Garantizar la seguridad de la administración del ciclo de vida de los recursos

Guía: no aplicable; no puede usar el servicio Azure Spring Cloud para garantizar la seguridad de los recursos en un proceso de administración del ciclo de vida. El cliente es responsable de mantener los atributos y las configuraciones de red de los recursos que se consideren de gran impacto. Haga que el cliente cree un proceso para:

  • Capturar el atributo y los cambios de configuración de red.
  • Medir el impacto del cambio.
  • Crear tareas de corrección, según corresponda.

Responsabilidad: Customer

AM-5: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: con el acceso condicional de Azure, limite la capacidad de los usuarios de interactuar con Azure Resource Manager. Configure "Bloquear el acceso" para la aplicación "Microsoft Azure Management".

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre todo el software de las máquinas virtuales. Azure Portal pone a disposición los siguientes elementos:

  • Nombre del software
  • Versión
  • Publicador
  • Hora de actualización

Para obtener acceso a la fecha de instalación y otra información, habilite los diagnósticos a nivel de invitado. Después, lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: use la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. Habilite Microsoft Defender para los recursos del servicio Azure Spring Cloud. Microsoft Defender para el servicio Azure Spring Cloud proporciona otra capa de inteligencia de seguridad. Esta capa detecta intentos inusuales y potencialmente perjudiciales de acceder a los recursos del servicio Azure Spring Cloud.

Reenvíe los registros del servicio Azure Spring Cloud a su SIEM para que pueda configurar detecciones de amenazas personalizadas. Supervise los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrate en obtener alertas de alta calidad, para que los analistas no tengan que organizar tantos falsos positivos. Puede obtener alertas de datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.

  • Registros de auditoría. Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características en Azure AD. Entre los ejemplos se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:

    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que no sea el propietario legítimo de la cuenta de usuario.

  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Puede ver estos registros en los informes de Azure AD. Para casos de uso de supervisión y análisis más sofisticados, puede integrar los registros en:

  • Supervisión
  • Microsoft Sentinel
  • Otras herramientas de SIEM o supervisión

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad detalladas de forma individual:

  • Recursos de proceso de Azure (máquinas virtuales, contenedores o App Service)
  • Recursos de datos (base de datos SQL y almacenamiento)
  • Capas de servicio de Azure

Esta capacidad le permite ver las anomalías de la cuenta dentro de recursos únicos.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: para el análisis de seguridad, habilite y recopile registros para:

  • Recursos de NSG
  • Flujos de NSG
  • Azure Firewall
  • Firewall de aplicaciones web (WAF)

Use estos registros para admitir:

  • Investigaciones de incidentes
  • Búsqueda de amenazas
  • Generación de alertas de seguridad

Envíe los registros de flujo a un área de trabajo de Log Analytics en Monitor. A continuación, use Análisis de tráfico para proporcionar información.

El servicio Azure Spring Cloud registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la funcionalidad de flujo de red dentro de los recursos de oferta implementados.

Recopile registros de consulta de DNS para ayudar a correlacionar otros datos de red. Implemente una solución de terceros de Azure Marketplace para solucionar el registro DNS según las necesidades de su organización.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos del servicio Azure Spring Cloud. Los registros de actividad están disponibles automáticamente, pero no contienen operaciones de lectura (GET). Puede usar los registros de actividad para buscar un error durante la solución de problemas. O bien, use los registros para supervisar de qué manera un usuario de su organización ha modificado un recurso.

Habilite registros de recursos de Azure para el servicio Azure Spring Cloud. Para habilitar los registros de recursos y la recopilación de datos de registro, use Microsoft Defender for Cloud y Azure Policy. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

El servicio Azure Spring Cloud también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite estos registros de auditoría de administrador local.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: no aplicable; el servicio Azure Spring Cloud no admite la configuración de sus propios orígenes de sincronización de hora.

El servicio Azure Spring Cloud se basa en orígenes de sincronización de hora de Microsoft. No está expuesto a los clientes para la configuración.

Responsabilidad: Microsoft

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

IR-1: Preparación: actualización del proceso de respuesta a incidentes para Azure

Guía: asegúrese de que su organización:

  • Tiene procesos para responder a incidentes de seguridad.
  • Ha actualizado estos procesos para Azure.
  • Ejecuta regularmente los procesos para garantizar la preparación.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

IR-2: Preparación: notificación de incidentes de configuración

Guía: Configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. ¿Qué ocurre si el Centro de respuestas de seguridad de Microsoft (MSRC) descubre que una parte ilegal o no autorizada ha accedido a sus datos? Microsoft usa esta información de contacto para ponerse en contacto con usted. En función de sus necesidades de respuesta a incidentes, puede personalizar la alerta y notificación de incidentes en diferentes servicios de Azure.

Responsabilidad: Customer

IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad

Guía: asegúrese de que cuenta con un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esta práctica le permite aprender lecciones de incidentes anteriores. Después puede centrarse en las alertas de los analistas, para que no pierdan tiempo en falsos positivos.

Al fusionar y correlacionar diversos orígenes de señal, puede crear alertas de alta calidad basadas en:

  • Experiencia de incidentes anteriores.
  • Orígenes de la comunidad validados.
  • Herramientas diseñadas para generar y limpiar alertas.

Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel. Microsoft Sentinel le permite crear reglas de alerta avanzadas con el fin de generar automáticamente incidentes para su investigación.

Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación. Así podrá identificar los riesgos para los recursos de Azure. Exporte alertas y recomendaciones manualmente. O bien, exporte de forma continua.

Responsabilidad: Customer

IR-4: Detección y análisis: investigación de incidentes

Guía: asegúrese de que los analistas pueden consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes. A continuación, los analistas pueden crear una vista completa de lo que ha ocurrido. Para evitar problemas no detectados, recopile diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de exterminio. Capture detalles y aprendizajes para otros analistas y para futuras referencias históricas.

Los orígenes de datos para la investigación incluyen los orígenes de registro centralizados que ya se recopilan de los servicios en el ámbito y los sistemas en ejecución. Los orígenes de datos también pueden incluir:

  • Datos de red. Para capturar registros de flujo de red y otra información de análisis, use:

    • Registros de flujo de NSG
    • Azure Network Watcher
    • Supervisión
  • Instantáneas de sistemas en ejecución:

    • Use la funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.

    • Use la funcionalidad de volcado de la memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.

    • Use la característica de instantánea de los servicios de Azure o la propia funcionalidad del software para crear instantáneas de los sistemas en ejecución.

Microsoft Sentinel proporciona un amplio análisis de datos en prácticamente cualquier origen de registro. Proporciona un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. A efectos de seguimiento y elaboración de informes, asocie la información de inteligencia durante una investigación con un incidente.

Responsabilidad: Customer

IR-5: detección y análisis: centrarse en incidentes

Guía: proporcione contexto a los analistas sobre los incidentes en los que deberán centrarse en primer lugar en función de la gravedad de la alerta y la confidencialidad de los recursos.

Microsoft Defender for Cloud asigna una gravedad a cada alerta. Esta gravedad le ayuda a enfatizar qué alertas se deben investigar primero. La gravedad se basa en:

  • La confianza de Microsoft Defender for Cloud en la búsqueda.
  • La confianza de Microsoft Defender for Cloud en los análisis que se usaron para emitir la alerta.
  • El nivel de confianza de que hay intención malintencionada detrás de la actividad que condujo a la alerta.

Marque los recursos mediante etiquetas. Cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los recursos que procesan datos confidenciales. Usted es responsable de centrarse en la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure en el que se produce el incidente.

Responsabilidad: Customer

IR-6: Contención, erradicación y recuperación: automatización del control de incidentes

Guía: Automatice las tareas repetitivas manuales para acelerar el tiempo de respuesta y reducir la carga de los analistas. Tareas manuales:

  • Tarda más tiempo en ejecutarse.
  • Ralentiza el progreso de cada incidente.
  • Reduce el número de incidentes que un analista puede controlar.

Las tareas manuales también aumentan la fatiga de los analistas, lo que aumenta el riesgo de errores humanos que provocan retrasos. La fatiga degrada la capacidad de los analistas de centrarse eficazmente en tareas complejas.

Use las características de automatización de flujos de trabajo de Microsoft Defender for Cloud y Microsoft Sentinel para desencadenar acciones automáticamente. O bien, use estas características para ejecutar un cuaderno de estrategias que responda a las alertas de seguridad entrantes. El cuaderno de estrategias realiza acciones, como:

  • Enviar notificaciones
  • Deshabilitar cuentas
  • Aislar redes problemáticas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso. Estos recursos incluyen máquinas virtuales y contenedores, entre otros.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: No aplicable; Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten el servicio Azure Spring Cloud.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: para software de terceros, use la solución de administración de revisiones de un tercero. O bien, use System Center Updates Publisher para Configuration Manager.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos.

Para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y recuperarlas. Para proteger las claves frente a la eliminación accidental o malintencionada, habilite la eliminación temporal y la protección de purga en Key Vault.

Responsabilidad: Customer

Gobernanza y estrategia

Para más información, consulte Azure Security Benchmark: gobernanza y estrategia.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Guía: asegúrese de documentar y comunicar una estrategia clara para la protección y supervisión continua de sistemas y datos. Para los sistemas y datos críticos para la empresa, concéntrese en:

  • Detección
  • Evaluación
  • Protección
  • Supervisión

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Norma de clasificación de datos que se ajusta a los riesgos empresariales

  • Visibilidad en la organización de seguridad de los riesgos y el inventario de recursos

  • Aprobación de la organización de seguridad de los servicios de Azure para su uso

  • Seguridad de los recursos durante su ciclo de vida

  • Estrategia de control de acceso necesaria, que debe ajustarse a la clasificación de datos de la organización

  • Uso de las funcionalidades de protección de datos nativa de Azure y de terceros

  • Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

  • Normas criptográficas adecuadas

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-2: Definición de una estrategia de segmentación empresarial

Guía: establezca una estrategia que abarque toda la empresa para segmentar el acceso a los recursos, mediante una combinación de:

  • Identidad
  • Red
  • Application
  • Suscripción
  • Grupo de administración
  • Otros controles

Equilibre cuidadosamente:

  • La necesidad de separación de seguridad.
  • La necesidad de habilitar el funcionamiento diario de los sistemas que comunican y acceden a los datos.

Implemente la estrategia de segmentación de forma coherente en todos los tipos de control, lo que incluye:

  • Seguridad de las redes
  • Modelos de identidad y acceso
  • Modelos de accesos y permisos de las aplicaciones
  • Controles de procesos humanos

Para obtener más información, consulte los siguientes vínculos:

Responsabilidad: Customer

GS-3: Definición de la estrategia de administración de la posición de seguridad

Guía: mida y mitigue continuamente los riesgos de los recursos individuales y del entorno en el que se hospedan. Céntrese en recursos de alto valor y en superficies de ataque muy expuestas, como:

  • Aplicaciones publicadas
  • Puntos de entrada y salida de la red
  • Puntos de conexión de usuario y administrador

Para obtener más información, lea el artículo siguiente:

Responsabilidad: Customer

GS-4: Alineación de los roles y responsabilidades de la organización

Guía: documente y comunique una estrategia clara para los roles y las responsabilidades de la organización de seguridad. Enfatice:

  • Proporcionar una responsabilidad clara para las decisiones de seguridad.
  • Formar a todos los usuarios en el modelo de responsabilidad compartida.
  • Formar a equipos técnicos sobre tecnología para proteger la nube.

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

GS-5: Definición de la estrategia de seguridad de red

Guía: establezca un enfoque de seguridad de red de Azure. Haga que este enfoque forme parte de la estrategia general de su organización para el control de acceso de seguridad.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Centralización de la responsabilidad de seguridad y la administración de redes

  • Modelo de segmentación de la red virtual alineado con la estrategia de segmentación empresarial

  • Estrategia de corrección en diferentes escenarios de amenazas y ataques

  • Estrategia de entrada, salida y perimetral de Internet

  • Estrategia de interconectividad entre el entorno local y la nube híbrida

  • Artefactos de seguridad de red actualizados, como los diagramas de red y la arquitectura de red de referencia

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-6: Definición de la estrategia de acceso con privilegios e identidades

Guía: establezca una identidad de Azure y enfoques de acceso con privilegios. Haga que estos elementos formen parte de la estrategia general de su organización para el control de acceso de seguridad.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Un sistema de identidad y autenticación centralizado, y su interconectividad con otros sistemas de identidad, internos y externos

  • Métodos de autenticación sólida en diferentes casos de uso y condiciones

  • Protección de usuarios con privilegios elevados

  • Supervisión y control de actividades anómalas del usuario

  • Proceso de revisión y conciliación del acceso y la identidad de los usuarios

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Guía: para detectar y corregir rápidamente las amenazas mientras cumple los requisitos de cumplimiento establezca una estrategia de registro y respuesta a amenazas. Céntrese en proporcionar a los analistas alertas de alta calidad y experiencias fluidas. Así, los analistas pueden centrarse en las amenazas en lugar de en la integración y en los pasos manuales.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)

  • Un proceso de respuesta a incidentes bien definido, que se alinee con un marco del sector, como el National Institute of Standards and Technology (NIST)

  • Captura de registros y retención para admitir:

    • Detección de amenazas
    • Respuesta a los incidentes
    • Necesidades de cumplimiento
  • Visibilidad centralizada e información de correlación sobre amenazas, mediante:

    • SIEM
    • Funcionalidades nativas de Azure
    • Otros orígenes
  • Plan de comunicación y notificación con:

    • Clientes
    • Suppliers
    • Entidades públicas de interés
  • Uso de plataformas nativas de Azure y de terceros para el control de incidentes, como:

    • Registro y detección de amenazas
    • Datos forenses
    • Corrección y erradicación de ataques
  • Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Guía: establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), de acuerdo con los objetivos de resistencia de su negocio

  • Diseño de redundancia en la configuración de la infraestructura y las aplicaciones

  • Protección de la copia de seguridad, mediante el control de acceso y el cifrado de datos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Pasos siguientes