Línea de base de seguridad de Azure Storage

  • Artículo
  • Tiempo de lectura: 42 minutos

Esta línea de base de seguridad aplica las instrucciones de la versión 1.0 de Azure Security Benchmark a Azure Storage. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Storage.

Nota

Los controles no aplicables a Azure Storage, o para los que la responsabilidad es de Microsoft, se han excluido. Para ver cómo Azure Storage asigna completamente a Azure Security Benchmark, consulte el archivo de asignación de línea Azure Storage base de referencia de seguridad completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Para configurar el firewall de la cuenta de almacenamiento, restrinja el acceso a los clientes de intervalos específicos de direcciones IP públicas, redes virtuales concretas de Azure, o bien a recursos específicos de Azure. También puede configurar puntos de conexión privados para que el tráfico al servicio de almacenamiento de la empresa se mueva exclusivamente mediante redes privadas.

Nota: Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Storage:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Azure Storage proporciona un modelo de seguridad por capas. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP o una lista de subredes de instancias de una instancia de Azure Virtual Network. Puede usar Microsoft Defender para la nube y seguir las recomendaciones de protección de red para ayudar a proteger los recursos de red en Azure. Además, habilite los registros de flujos de grupos de seguridad de red para las redes virtuales o la subred configuradas para las cuentas de Storage mediante el firewall de la cuenta de Storage, y envíe registros a una cuenta de Storage para realizar la auditoría de tráfico.

Tenga en cuenta que, si tiene puntos de conexión privados conectados a la cuenta de almacenamiento, no puede configurar reglas del grupo de seguridad de red para las subredes.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.3: Proteja las aplicaciones web críticas

Guía: No aplicable; la recomendación está pensada para las aplicaciones web que se ejecutan en Azure App Service o en recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía:habilite Microsoft Defender para Storage para su Azure Storage cuenta. Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Las alertas integradas de Microsoft Defender para la nube se basan en actividades para las que la comunicación de red se asoció a una dirección IP que se resolvió correctamente, independientemente de si la dirección IP es o no una dirección IP de riesgo conocida (por ejemplo, una criptografía conocida) o una dirección IP que no se ha reconocido anteriormente como de riesgo. Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: La captura de paquetes de Network Watcher permite crear sesiones de captura para realizar el seguimiento del tráfico entre la cuenta de Storage y una máquina virtual. La sesión de captura cuenta con filtros para asegurarse de capturar solo el tráfico que se desea. La captura de paquetes ayuda a diagnosticar anomalías de la red, tanto de forma activa como reactiva. Otros usos son la recopilación de estadísticas de red, la obtención de información sobre las intrusiones de red y la depuración de las comunicaciones cliente-servidor, entre otros. Esta funcionalidad permite desencadenar capturas de paquetes de forma remota, lo que reduce la carga de tener que ejecutar una captura de paquetes manualmente y en la máquina virtual deseada, y permite ahorrar tiempo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y de detección de intrusiones (IDS/IPS) basados en la red.

Guía:Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos inusuales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o de aprovechar su vulnerabilidad. Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Estas alertas de seguridad se integran con Microsoft Defender for Cloud y también se envían por correo electrónico a los administradores de las suscripciones, con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.7: Administre el tráfico a las aplicaciones web

Guía: No aplicable; la recomendación está pensada para las aplicaciones web que se ejecutan en Azure App Service o en recursos de proceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: En el caso de los recursos en instancias de Virtual Network que necesitan acceder a la cuenta de Storage, use etiquetas de servicio de Virtual Network para la red virtual configurada con el fin de definir los controles de acceso de red en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, Storage) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Cuando el acceso a la red se deba restringir al ámbito de determinadas cuentas de almacenamiento, use directivas de punto de conexión de servicio de Virtual Network.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Defina e implemente configuraciones de seguridad estándar para los recursos de red asociados con la cuenta de Azure Storage con Azure Policy. Use alias de Azure Policy en los espacios de nombres "Microsoft.Storage" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de los recursos de la cuenta de Storage.

También puede usar definiciones de directivas integradas relacionadas con la cuenta de almacenamiento, como: Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: use etiquetas para grupos de seguridad de red y otros recursos relacionados con la seguridad de red y el flujo de tráfico. El etiquetado le permite asociar pares de nombre-valor integrados y personalizados con un recurso de red determinado, lo que le ayuda a organizar los recursos de red y a relacionar los recursos de Azure con el diseño de red.

Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los recursos no etiquetados existentes.

Los grupos de seguridad de red admiten etiquetas, al contrario que las reglas de seguridad individuales. Las reglas de seguridad tienen un campo Descripción que puede usar para almacenar parte de la información que pondría normalmente en una etiqueta.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Instrucciones: Use Azure Policy para registrar los cambios de configuración de los recursos de red. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Instrucciones: Ingiera recursos mediante Azure Monitor para agregar datos de seguridad agregados generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo, lo que puede incluir, opcionalmente, características de seguridad como almacenamiento inmutable y aplicación de suspensiones de retención.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Azure Storage Analytics proporciona registros para blobs, colas y tablas. Puede usar Azure Portal para configurar los registros que se registran para su cuenta.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: Al almacenar los registros de eventos de seguridad en la cuenta de Azure Storage o el área de trabajo de Log Analytics, puede establecer la directiva de retención según los requisitos de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y revisión de registros

Guía: Para revisar los registros de Azure Storage, están las opciones habituales, como las consultas mediante la oferta de Log Analytics, así como una opción única de ver los archivos de registro directamente. En Azure Storage, los registros se almacenan en blobs a los que se debe acceder directamente desde http://accountname.blob.core.windows.net/$logs. La carpeta de registro está oculta de forma predeterminada, por lo que tendrá que desplazarse hasta ella directamente. No se mostrará en los comandos de la lista.

Además, habilite Microsoft Defender para Storage para la cuenta de almacenamiento. Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Estas alertas de seguridad se integran con Microsoft Defender for Cloud y también se envían por correo electrónico a los administradores de las suscripciones, con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía:En Microsoft Defender para la nube, habilite Microsoft Defender para Storage cuenta. Habilite la configuración de diagnóstico para la cuenta de Storage y envíe registros a un área de trabajo de Log Analytics. Incorpore el área de trabajo de Log Analytics a Microsoft Sentinel, ya que proporciona una solución de respuesta automatizada de orquestación de seguridad (SOAR). Esto permite crear cuadernos de estrategias (soluciones automatizadas) y usarlos para corregir problemas de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.8: Centralización del registro antimalware

Guía:Use Microsoft Defender para la nube y habilite Microsoft Defender para Storage para detectar cargas de malware en Azure Storage mediante el análisis de reputación de hash y el acceso sospechoso desde un nodo de salida de Tor activo (un proxy anónimo).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.9: Habilitación del registro de consultas DNS

Guía: La solución Azure DNS Analytics (versión preliminar) de Azure Monitor recopila conclusiones en la infraestructura de DNS sobre seguridad, rendimiento y operaciones. Actualmente, no se admiten las cuentas de Azure Storage, pero puede usar una solución de registro de DNS de terceros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Ni las cuentas de Azure Storage ni Azure Active Directory (Azure AD) tienen el concepto de contraseñas en blanco o predeterminadas. Azure Storage implementa un modelo de control de acceso que admite el control de acceso basado en roles de Azure (Azure RBAC), así como la clave compartida y las firmas de acceso compartido (SAS). Una característica de la autenticación con clave compartida y SAS es que no se asocia ninguna identidad con el autor de la llamada y, en consecuencia, no se puede realizar la autorización basada en permisos de la entidad de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a la cuenta de Storage. Use Microsoft Defender para la administración de identidades y acceso en la nube para supervisar el número de cuentas administrativas.

También puede habilitar el acceso Just-in-Time/Just-Enough usando roles con privilegios de Privileged Identity Management de Azure Active Directory (Azure AD) para los servicios de Microsoft y Azure Resource Manager.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use Microsoft Defender para las recomendaciones de Administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para la administración de identidades en la nube y acceso para ayudar a proteger los recursos de Storage cuenta.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Uso de estaciones de trabajo seguras y administradas por Azure para realizar tareas administrativas

Guía: Utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en la cuenta de Storage y configurarla.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía:Envíe alertas de Microsoft Defender para detección de riesgos en la nube a Azure Monitor y configure alertas o notificaciones personalizadas mediante grupos de acciones. Habilite Microsoft Defender para Storage cuenta para generar alertas de actividad sospechosa. Use la característica de detecciones de riesgo de Azure Active Directory (Azure AD) para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure proporciona control de acceso basado en rol (Azure RBAC) para el control específico de acceso de los clientes a los recursos de una cuenta de almacenamiento. Use credenciales de Azure AD cuando sea posible como procedimiento recomendado de seguridad, en lugar de usar la clave de cuenta, que se puede poner en peligro más fácilmente. Cuando el diseño de la aplicación requiera firmas de acceso compartido para el acceso a Blob Storage, use credenciales de Azure AD para crear firmas de acceso compartido (SAS) de delegación de usuarios cuando sea posible para una seguridad superior.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: Revise los registros de Azure Active Directory (Azure AD) con el fin de detectar cuentas obsoletas, como aquellas con roles administrativos de la cuenta de Storage. Además, use las revisiones de acceso de identidad de Azure para administrar de forma eficaz la pertenencia a grupos, el acceso a las aplicaciones empresariales que se pueden usar para acceder a recursos de cuentas de Storage y asignaciones de roles. El acceso de los usuarios se debe revisar de forma periódica para asegurarse de que solo los usuarios adecuados tengan acceso continuado.

También puede usar una firma de acceso compartido (SAS) para ofrecer acceso delegado a los recursos en la cuenta de almacenamiento sin poner en peligro la seguridad de los datos. Puede controlar a qué recursos puede tener acceso el cliente, qué permisos tienen en esos recursos y cuánto tiempo es válida la SAS, entre otros parámetros.

Además, revise el acceso de lectura anónimo a contenedores y blobs. De forma predeterminada, solo un usuario al que se han concedido los permisos adecuados puede acceder a un contenedor y a los blobs dentro de él. Puede usar Azure Monitor para alertar sobre el acceso anónimo a cuentas de Storage mediante la condición de autenticación anónima.

Una manera eficaz de reducir el riesgo de acceso a cuentas de usuario no sospechosas es limitar la duración del acceso que se concede a los usuarios. Los URI de SAS de tiempo limitado son una manera eficaz de que caduque el acceso del usuario a una cuenta de Storage. Además, la rotación de claves de cuentas de Storage con frecuencia es una manera de asegurarse de que el acceso inesperado mediante las claves de la cuenta de Storage tiene una duración limitada.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Use Storage Analytics para registrar información detallada sobre las solicitudes correctas y erróneas realizadas a un servicio de almacenamiento. Todos los registros se almacenan en blobs en bloques en un contenedor denominado $logs, que se crea automáticamente cuando se habilita Storage Analytics para una cuenta de almacenamiento.

Cree una configuración de diagnóstico para las cuentas de usuario de Azure Active Directory (Azure AD) mediante el envío de los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.

Para supervisar los errores de autenticación en cuentas de Azure Storage, puede crear alertas que le avisen cuando se hayan alcanzado determinados umbrales para las métricas de recursos de almacenamiento. Además, use Azure Monitor para alertar sobre el acceso anónimo a cuentas de Storage mediante la condición de autenticación anónima.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten en relación con los recursos de las cuentas de Storage. Debe habilitar las respuestas automatizadas a través de Microsoft Sentinel para implementar las respuestas de seguridad de su organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Instrucciones: En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, la Caja de seguridad del cliente (versión preliminar para cuentas de Storage) proporciona una interfaz para que los clientes revisen y aprueben o rechacen las solicitudes de acceso a los datos del cliente. Microsoft no necesitará ni solicitará acceso a los secretos de la organización almacenados en la cuenta de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: Use etiquetas para ayudar a realizar el seguimiento de los recursos de cuentas de Storage que almacenan o procesan información confidencial.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Implemente el aislamiento mediante suscripciones independientes, grupos de administración y cuentas de Storage para dominios de seguridad individuales, como el entorno y la confidencialidad de los datos. Puede restringir la cuenta de Storage para controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes usadas. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos del conjunto especificado de redes pueden acceder a una cuenta de almacenamiento. Puede controlar el acceso a Azure Storage mediante Azure RBAC.

También puede configurar puntos de conexión privados para mejorar la seguridad cuando el tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, eliminando la exposición a la red pública de Internet.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: En el caso de recursos de cuentas de Storage que almacenan o procesan información confidencial, marque los recursos como confidenciales mediante etiquetas. Para reducir el riesgo de pérdida de datos mediante filtración, restrinja el tráfico de red saliente para las cuentas de Azure Storage mediante Azure Firewall.

Además, use directivas de punto de conexión de servicio de red virtual para filtrar el tráfico de red virtual de salida a cuentas de Azure Storage mediante un punto de conexión de servicio y habilite la filtración de datos únicamente para cuentas específicas de Azure Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Puede exigir el uso de HTTPS mediante la habilitación de la transferencia segura requerida para la cuenta de Storage. Una vez que esta opción esté habilitada, se rechazarán las conexiones que usan HTTP. Además, use Microsoft Defender para la nube y Azure Policy para aplicar la transferencia segura para la cuenta de almacenamiento.

Responsabilidad: Compartido

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Storage:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: Las características de identificación de datos todavía no están disponibles para la cuenta de Azure Storage y los recursos relacionados. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso del control de acceso basado en rol para controlar el acceso a los recursos

Guía: Azure Active Directory (Azure AD) autoriza derechos de acceso a recursos protegidos mediante el control de acceso basado en rol de Azure (Azure RBAC). Azure Storage define un conjunto de roles RBAC integrados de Azure que engloban los conjuntos comunes de permisos que se usan para acceder a los datos de los blobs o de las colas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.8: Cifrado de información confidencial en reposo

Guía: El cifrado de Azure Storage está habilitado en todas las cuentas de almacenamiento y no se puede deshabilitar. Azure Storage cifra automáticamente los datos al guardarlos en la nube. Al leer datos de Azure Storage, Azure Storage los descifra antes de devolverlos. El cifrado de Azure Storage le permite proteger los datos en reposo sin tener que modificar el código o agregar código a las aplicaciones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en los recursos de la cuenta de Storage. También puede habilitar el registro de Azure Storage para realizar un seguimiento de cómo se autorizó cada solicitud realizada en Azure Storage. Los registros indican si una solicitud se realizó de forma anónima o mediante un token OAuth 2.0, una clave compartida o una firma de acceso compartido (SAS). Además, use Azure Monitor para alertar sobre el acceso anónimo a cuentas de Storage mediante la condición de autenticación anónima.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía:siga las recomendaciones de Microsoft Defender para la nube para auditar y supervisar continuamente la configuración de las cuentas de almacenamiento.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía: No aplicable; Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten cuentas de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía:Use las clasificaciones de riesgo predeterminadas (Puntuación segura) proporcionadas por Microsoft Defender para la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: Use Azure Resource Graph para consultar y detectar todos los recursos (incluidas las cuentas de Storage) de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Guía: Aplique etiquetas a los recursos de la cuenta de Storage que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Guía: Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de las cuentas de Storage y los recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Además, use Microsoft Defender para Storage detectar recursos de Azure no autorizados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: Tendrá que crear un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Además, use Azure Resource Graph para consultar y detectar recursos en las suscripciones. Esto puede ayudar en entornos de alta seguridad, como aquellos con cuentas de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: El cliente puede impedir la creación o el uso de recursos con Azure Policy según las directivas de la empresa del cliente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos
  • Tipos de recursos permitidos

Información adicional disponible en los vínculos indicados.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.ClassicStorage:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Definiciones integradas de Azure Policy: Microsoft.Storage:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management. Esto puede impedir la creación y los cambios en los recursos de un entorno de alta seguridad, como los que tienen cuentas de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres Microsoft.Storage para crear directivas personalizadas con el fin de auditar o aplicar la configuración de las instancias de la cuenta de Storage. También puede usar definiciones de Azure Policy para la cuenta de Azure Storage, como las siguientes:

  • Auditar el acceso de red sin restricciones a cuentas de almacenamiento
  • Implementación de Microsoft Defender para Storage
  • Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager
  • Se debe habilitar la transferencia segura a las cuentas de almacenamiento

Use las recomendaciones de Microsoft Defender para la nube como línea base de configuración segura para las Storage cliente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Use la instancia de Azure Policy [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de la cuenta de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: use Azure Repos para almacenar y administrar de forma segura el código, como directivas de Azure personalizadas, plantillas de Azure Resource Manager, scripts de Desired State Configuration, etc. Para acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o Azure AD si se integran con TFS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: Use Azure Policy para alertar, auditar y aplicar las configuraciones del sistema para la cuenta de Storage. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía:aproveche Microsoft Defender para la nube para realizar exámenes de línea de base para los Azure Storage de la cuenta.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Guía: Azure Storage cifra automáticamente los datos al guardarlos en la nube. Puede usar las claves administradas por Microsoft para el cifrado de la cuenta de Storage o puede administrar el cifrado con sus propias claves. Si usa claves proporcionadas por el cliente, puede aprovechar Azure Key Vault para almacenarlas de forma segura.

Además, cambie las claves de la cuenta de Storage con frecuencia para limitar el impacto de la pérdida o revelación de claves de la cuenta de Storage.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: Autorice el acceso a blobs y colas desde las cuentas de Azure Storage con Azure Active Directory (Azure AD) e identidades administradas. Azure Blob Storage y Queue Storage admite la autenticación de Azure AD y con identidades administradas para recursos de Azure.

Las identidades administradas para recursos de Azure pueden autorizar el acceso a datos de blobs y colas con credenciales de Azure AD desde aplicaciones que se ejecutan en máquinas virtuales de Azure, aplicaciones de función, conjuntos de escalado de máquinas virtuales y otros servicios. Si usa identidades administradas para recursos de Azure junto con autenticación de Azure AD, puede evitar el almacenamiento de credenciales con las aplicaciones que se ejecutan en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía:Use Microsoft Defender para Storage para detectar cargas de malware en Azure Storage mediante el análisis de reputación hash y el acceso sospechoso desde un nodo de salida de Tor activo (un proxy anonimizador).

También puede realizar un examen previo de cualquier contenido en busca de malware antes de cargarlo en recursos de Azure que no son de proceso, como App Service, Data Lake Storage, Blob Storage, etc., para cumplir los requisitos de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Los datos de la cuenta de Microsoft Azure Storage siempre se replican automáticamente para garantizar la durabilidad y la alta disponibilidad. Azure Storage copia los datos para protegerlos de eventos previstos e imprevistos, como errores transitorios del hardware, interrupciones del suministro eléctrico o de la red y desastres naturales masivos. Puede optar por replicar los datos en el mismo centro de datos, en centros de datos zonales que estén en la misma región o en regiones geográficamente separadas.

También puede permitir que Azure Automation tome instantáneas periódicas de los blobs.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: Para realizar una copia de seguridad de los datos de los servicios admitidos por la cuenta de Storage, hay varios métodos, como el uso de azcopy o herramientas de terceros. El almacenamiento inmutable para Azure Blob Storage permite a los usuarios almacenar objetos de datos críticos para la empresa en un estado WORM (escribir una vez, leer muchas). En este estado, los usuarios no pueden borrar ni modificar los datos durante el intervalo de tiempo especificado por el usuario.

Se pueden realizar copias de seguridad de las claves administradas o proporcionadas por el cliente en Azure Key Vault mediante la CLI de Azure o PowerShell.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Instrucciones: Realice restauraciones de datos automatizadas periódicas de sus certificados, claves, cuentas de almacenamiento administradas y secretos de Key Vault con los siguientes comandos de PowerShell:

Restore-AzKeyVaultCertificate Restore-AzKeyVaultKey Restore-AzKeyVaultManagedStorageAccount Restore-AzKeyVaultSecret

Nota: Si desea copiar datos desde y hacia su servicio Azure Table Storage, instale AzCopy versión 7.3.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Para habilitar las claves administradas por el cliente en una cuenta de almacenamiento, debe usar un almacén de Azure Key Vault para almacenar las claves. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves. La característica de eliminación temporal de Key Vault permite la recuperación de almacenes y objetos de almacén eliminados, como claves, secretos y certificados. Si realiza una copia de seguridad de los datos de la cuenta de Storage en los blobs de Azure Storage, habilite la eliminación temporal para guardar y recuperar los datos cuando se eliminen blobs o instantáneas de blobs. Debe tratar las copias de seguridad como datos confidenciales y aplicar los controles de protección de datos y de acceso pertinentes como parte de esta base de referencia. Además, para mejorar la protección, puede almacenar objetos de datos críticos para la empresa en un estado WORMM (escribir una vez, leer muchas).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en el análisis usado para emitir la alerta, así como en el nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no producción) mediante etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente aquellos que procese datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua para ayudar a identificar los riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:Use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en la nube, los servicios y las aplicaciones administrados por Microsoft.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes