Base de referencia de seguridad de Azure para Virtual Network NAT

Esta base de referencia de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark en Microsoft Virtual Network NAT. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa en función de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Virtual Network NAT.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Virtual Network NAT y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Virtual Network NAT se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de base de referencia de seguridad de Virtual Network NAT.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Virtual Network NAT proporciona conectividad saliente para una red virtual. Cuando se asigna un recurso de puerta de enlace NAT a una subred, la ruta predeterminada de la subred a Internet se asigna al recurso de puerta de enlace NAT sin la acción del cliente. El tráfico devuelto desde Internet a través de la puerta de enlace NAT solo se permite en respuesta a un flujo dirigido de salida.

Los grupos de seguridad de red (NSG) se pueden configurar para el tráfico saliente enviado desde un recurso de una subred mediante una puerta de enlace NAT, pero el tráfico entrante no fluirá a través de una puerta de enlace NAT a menos que sea en respuesta al flujo de tráfico saliente.

Responsabilidad: Microsoft

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0
Las redes virtuales deben usar la puerta de enlace de red virtual especificada Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. AuditIfNotExists, Disabled 1.0.0

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes y NIC

Guía: los registros de flujo del grupo de seguridad de red (NSG) se pueden usar para supervisar el tráfico saliente a través de un recurso de puerta de enlace NAT.

Use Microsoft Defender for Cloud y siga las recomendaciones de protección de redes para proteger los recursos de red de Azure. Habilite los registros de flujo de los grupos de seguridad de red y envíe los registros a una cuenta de Azure Storage para su auditoría. También puede enviar los registros de flujo a un área de trabajo de Log Analytics y luego usar Análisis de tráfico para proporcionar información detallada sobre los patrones de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red, identificar las zonas activas y las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

1.5: Registro de los paquetes de red

Guía: Habilite la captura de paquetes de Network Watcher para investigar las actividades anómalas.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: defina e implemente configuraciones de seguridad estándar para subredes configuradas con recursos de puerta de enlace NAT usando definiciones y asignaciones de Azure Policy integradas o personalizadas.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: use el registro de actividad de Azure para supervisar las configuraciones de recursos y detectar cambios en los recursos de puerta de enlace NAT y recursos de redes virtuales. Cree alertas en Azure Monitor para recibir una notificación cuando se produzcan cambios en recursos críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: no aplicable; Azure Network NAT no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Azure Network NAT se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

2.2: Configuración de la administración central de registros de seguridad

Guía: realice la ingesta de registros relacionados con Virtual Network NAT a través de Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

También puede habilitar e incorporar los datos en Microsoft Sentinel o en una herramienta SIEM de terceros.

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) de los recursos de puerta de enlace NAT, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Actualmente Virtual Network NAT no genera ningún registro de diagnóstico adicional que los clientes puedan configurar.

Responsabilidad: Customer

2.4: Recopilación de registros de seguridad de sistemas operativos

Guía: no aplicable; Virtual Network NAT no expone ninguna configuración del sistema operativo ni registros de seguridad a los clientes. Microsoft es responsable de supervisar la infraestructura de proceso del servicio subyacente.

Responsabilidad: Microsoft

2.7: Habilitación de alertas para actividades anómalas

Guía: use Microsoft Defender for Cloud con el área de trabajo de Log Analytics para la supervisión y las alertas sobre actividades anómalas que se encuentren en los registros y eventos de seguridad. En su lugar, puede habilitar e incorporar datos a Microsoft Sentinel.

Responsabilidad: Customer

2.8: Centralización del registro antimalware

Guía: no aplicable; Virtual Network NAT no genera ni expone ningún registro antimalware a los clientes. Para todos los recursos administrados por Microsoft, Microsoft controla el registro de antimalware.

Responsabilidad: Microsoft

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Guía: no aplicable; Microsoft realiza la administración de revisiones en los sistemas operativos subyacentes que admiten Virtual Network NAT.

Responsabilidad: Microsoft

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones.

Asegúrese de que tiene los permisos (de lectura) adecuados en el inquilino y enumere todas las suscripciones de Azure, así como los recursos en las suscripciones.

Aunque los recursos de Azure clásico se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos basados en Azure Resource Manager en adelante.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Guía: Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: aplique etiquetas para la administración de recursos de Azure.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: cree un inventario de los recursos aprobados de Azure, como permitir Virtual Network NAT y realizar el seguimiento de estos recursos a lo largo de su ciclo de vida según las necesidades de la organización.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones. Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Use Azure DevOps para almacenar y administrar de forma segura el código, como definiciones de Azure Policy personalizadas, plantillas de Azure Resource Manager y scripts de Desired State Configuration. Para acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o Azure AD si se integran con TFS.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Guía: desarrolle una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza que tiene Microsoft Defender for Cloud en el hallazgo o en las métricas que se usan para emitir la alerta, así como en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha provocado la alerta.

Adicionalmente, marque las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Instrucciones: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente; así, ayudará a proteger los recursos de Azure. Identifique puntos débiles y brechas y después revise el plan de respuesta según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar riesgos para los recursos de Azure. La exportación continua permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: Use la característica de automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a las alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Customer

Pasos siguientes