Base de referencia de seguridad de Azure para Virtual Network

Esta base de referencia de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark en Azure Virtual Network. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa en función de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure Virtual Network.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles que no son aplicables a Azure Virtual Network o cuya responsabilidad es de Microsoft. Para ver cómo Virtual Network se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de base de referencia de seguridad de Virtual Network .

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: Use Microsoft Defender for Cloud y siga las recomendaciones de protección de redes para proteger los recursos de red en Azure.

Envíe registros de flujo del grupo de seguridad de red a un área de trabajo de Log Analytics y use el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. El Análisis de tráfico le ofrece la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Use los registros de Azure Monitor para proporcionar información sobre su entorno. Un área de trabajo se usa para intercalar y analizar los datos, y se puede integrar con otros servicios de Azure como Application Insights y Microsoft Defender for Cloud.

Elija los registros de recursos que se enviarán a una cuenta de Azure Storage o a un centro de eventos. También puede usar una plataforma diferente para analizar los registros.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: habilite la protección contra denegación de servicio distribuida (DDoS) estándar en las Azure Virtual Network para protegerse frente a ataques DDoS.

Implemente Azure Firewall en cada uno de los límites de red de la organización con el filtrado basado en inteligencia de amenazas habilitado y configurado para alertar y denegar el tráfico de red malintencionado.

Use las características de protección contra amenazas de Microsoft Defender for Cloud para detectar comunicaciones con direcciones IP malintencionadas conocidas.

Aplique las recomendaciones de protección de redes adaptables de Microsoft Defender for Cloud para las configuraciones de los grupos de seguridad de red que limitan los puertos y las direcciones IP de origen según el tráfico real y la inteligencia sobre amenazas.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0

1.5: Registro de los paquetes de red

Guía: Use la captura de paquetes de VPN Gateway además de las herramientas de captura de paquetes que suelen estar disponibles para registrar paquetes de red.

También puede revisar las soluciones basadas en el agente o NVA que proporcionan la funcionalidad de punto de acceso de terminal (TAP) o de visibilidad de red a través de las soluciones de asociados de agentes de paquetes disponibles en las ofertas de Azure Marketplace.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

1.6: Implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS) basados en la red

Guía: Use una instancia de Azure Firewall implementada en la red virtual con la inteligencia sobre amenazas habilitada. Use el filtrado basado en la inteligencia sobre amenazas de Azure Firewall para alertar o denegar el tráfico desde y hacia direcciones IP y dominios malintencionados conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft.

También puede seleccionar una oferta adecuada de Azure Marketplace que admita la funcionalidad de IDS/IPS con capacidades de inspección de carga.

Implemente la solución de firewall que prefiera en cada uno de los límites de red de su organización para detectar y/o denegar el tráfico malintencionado.

Responsabilidad: Customer

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Puede usar etiquetas de servicio de red virtual para definir controles de acceso a la red en los grupos de seguridad de red o Azure Firewall. Las etiquetas de servicio se pueden usar en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico del servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

También puede usar los grupos de seguridad de aplicaciones para simplificar una configuración de seguridad compleja. Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como extensión natural de una estructura de aplicación. Gracias a esto, podrá agrupar máquinas virtuales y definir directivas de seguridad de red basadas en esos grupos.

Responsabilidad: Customer

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: defina e implemente configuraciones de seguridad estándar para los recursos de red con Azure Policy y revise las definiciones de directiva de red integradas para la implementación.

Consulte la directiva predeterminada de Microsoft Defender for Cloud que contiene las recomendaciones de seguridad disponibles relacionadas con las redes virtuales.

También puede utilizar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como las plantillas de Azure Resource Manager, las asignaciones del control de acceso basado en roles (Azure RBAC) y las directivas, en una única definición de un plano técnico. Azure Blueprint se puede aplicar a las nuevas suscripciones para poder controlarlas y administrarlas de forma óptima a través del control de versiones.

Responsabilidad: Customer

1.10: Documente las reglas de configuración de tráfico

Guía: use etiquetas para grupos de seguridad de red y otros recursos relacionados con la seguridad de red y el flujo de tráfico. Use el campo "Descripción" para especificar la necesidad del negocio, la duración y otra información de cualquier regla que permita el tráfico hacia y desde una red para las reglas individuales del grupo de seguridad de red. Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los recursos no etiquetados existentes.

Seleccione Azure PowerShell o la CLI de Azure para buscar o realizar acciones en los recursos en función de sus etiquetas.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: use el registro de actividad de Azure para supervisar las configuraciones de recursos y detectar cambios en la red virtual. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Guía: Habilite Azure Monitor para el acceso a los registros de auditoría y actividad que incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles.

En Azure Monitor, use las áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice las cuentas de Azure Storage para el almacenamiento de archivos a largo plazo. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Habilite Azure Monitor para el acceso a los registros de auditoría y actividad que incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles.

Responsabilidad: Customer

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use las cuentas de Azure Storage para el almacenamiento a largo plazo de la retención de almacenamiento de los registros de seguridad.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Guía: Analice y supervise los registros en busca de comportamientos anómalos y revise los resultados con regularidad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en un SIEM de terceros.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: Use Microsoft Defender for Cloud con las áreas de trabajo de Log Analytics para realizar la supervisión y enviar alertas sobre actividades anómalas que se encuentran en los registros y eventos de seguridad.

Como alternativa, puede habilitar e incorporar datos en Microsoft Sentinel o en una herramienta SIEM de terceros para las alertas.

Responsabilidad: Customer

2.9: Habilitación del registro de consultas DNS

Guía: Implemente una solución de terceros de Azure Marketplace para la solución de registro DNS según las necesidades de su organización.

Responsabilidad: Customer

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Use los roles de administrador integrados de Azure Active Directory (Azure AD) que se pueden asignar explícitamente y se pueden consultar.

Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use la administración de identidades y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas.

Habilite el acceso Just-in-Time/Just-Enough usando roles de Azure Active Directory (Azure AD) Privileged Identity Management con privilegios para los servicios Microsoft y Azure Resource Manager.

Responsabilidad: Customer

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: Use el SSO con Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use las recomendaciones de administración de identidades y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: Habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de administración de identidades y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Uso de estaciones de trabajo seguras y administradas por Azure para realizar tareas administrativas

Guía: use estaciones de trabajo de acceso con privilegios (PAW) con la autenticación multifactor configurada para iniciar sesión en los recursos de red de Azure y acceder a ellos.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Use la característica de detecciones de riesgo de Azure Active Directory (Azure AD) para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

Transmita las alertas de detección de riesgos de Microsoft Defender for Cloud a Azure Monitor y configure las alertas o notificaciones personalizadas con grupos de acciones.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Guía: Use Azure Active Directory (Azure AD) como sistema central de autenticación y autorización para sus servicios. Azure AD protege los datos mediante el cifrado seguro para datos en reposo y en tránsito, y también sales, hashes y almacena de forma segura las credenciales de usuario.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: Use Azure Active Directory (Azure AD) para proporcionar registros que le permitan descubrir cuentas obsoletas.

Las revisiones de acceso de identidad de Azure se pueden usar para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se debe revisar de forma periódica para asegurarse de que solo los usuarios adecuados tengan acceso continuado.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Integre la actividad de inicio de sesión de Azure Active Directory (Azure AD) y los orígenes del registro de eventos de riesgo y auditoría, con cualquier herramienta de SIEM o supervisión basada en el acceso.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas que quiera en el área de trabajo de Log Analytics.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: use las características de protección de riesgos e identidad de Azure Active Directory (Azure AD) para configurar las respuestas automatizadas a las acciones sospechosas detectadas relacionadas con las identidades de los usuarios para la red virtual. Ingiera datos en Microsoft Sentinel para investigarlos más.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan a los recursos de Azure en redes virtuales pueden negociar TLS 1.2 o superior. Siga las recomendaciones de Microsoft Defender for Cloud para el cifrado en reposo y el cifrado en tránsito.

Microsoft ofrece una serie de opciones que los clientes pueden usar para proteger los datos en tránsito a través de Internet dirigidos al usuario final de forma interna, externa o dentro de la red de Azure. Entre ellas se incluyen la comunicación a través de redes privadas virtuales (mediante el cifrado IPsec/IKE), Seguridad de la capa de transporte (TLS) 1.2 o posterior (a través de componentes de Azure, como Application Gateway o Azure Front Door), protocolos directamente en las máquinas virtuales de Azure (como Windows IPsec o SMB) y mucho más.

Además, el "cifrado de forma predeterminada" con MACsec (un estándar de IEEE en la capa de enlace de datos) está habilitado para todo el tráfico de Azure que viaja entre los centros de datos de Azure con el fin de garantizar la confidencialidad y la integridad de los datos de los clientes.

Responsabilidad: Compartido

4.6: Uso de RBAC de Azure para administrar el acceso a los recursos

Guía: use el control de acceso basado en roles de Azure (Azure RBAC) para administrar el acceso a datos y recursos. De lo contrario, puede usar métodos de control de acceso específicos del servicio.

Elija roles integrados como Propietario, Colaborador o Colaborador de red y asigne el rol al ámbito adecuado. Por ejemplo, puede asignar un subconjunto de capacidades de red virtual con los permisos específicos necesarios para redes virtuales a cualquiera de estas funciones.

Responsabilidad: Customer

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: use Azure Monitor con los registros de actividad de Azure para crear alertas para cuando se produzcan cambios en los recursos críticos de Azure, como las redes virtuales y los grupos de seguridad de red.

Responsabilidad: Customer

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: use Azure Resource Graph para consultar y detectar todos los recursos de red, como las redes virtuales y las subredes de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Instrucciones: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: use el etiquetado, los grupos de administración y las suscripciones independientes para organizar y realizar un seguimiento de la red virtual y los recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Instrucciones: tendrá que crear un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades de la organización.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Consulte o detecte recursos en las suscripciones con Azure Resource Graph en entornos de alta seguridad, como aquellos que tienen cuentas de Azure Storage.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: evite la creación o el uso de recursos con Azure Policy, tal como lo requieran las directivas de la organización. Implemente procesos para quitar recursos no autorizados.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: use alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración de los recursos de red de Azure junto con las definiciones integradas de Azure Policy.

Exporte cualquiera de las plantillas de compilación con Azure Resource Manager en la notación de objetos JavaScript (JSON) y revíselos para asegurarse de que las configuraciones cumplen o superan los requisitos de seguridad de su organización.

Implemente las recomendaciones de Microsoft Defender for Cloud como una línea base de configuración segura para los recursos de Azure.

Responsabilidad: Customer

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: use las plantillas de Azure Resource Manager y las directivas de Azure Policy para configurar de forma segura los recursos de Azure asociados con la red virtual y los recursos relacionados. Las plantillas de Azure Resource Manager son archivos basados en JSON (la notación de objetos JavaScript) que se usan para implementar máquinas virtuales junto con recursos de Azure. Microsoft realiza el mantenimiento en las plantillas base.

Use las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure.

Responsabilidad: Customer

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: use Azure DevOps para almacenar y administrar de forma segura el código, como las directivas de Azure personalizadas, las plantillas de Azure Resource Manager o los scripts de Desired State Configuration. etcétera.

Debe tener permisos de acceso a los recursos que quiera administrar en Azure DevOps, como el código, las compilaciones y el seguimiento del trabajo. La mayoría de los permisos se conceden a través de grupos de seguridad integrados. Conceda o deniegue permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integra con Azure DevOps, o en Active Directory si se integran con Team Foundation Server.

Responsabilidad: Customer

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: defina e implemente configuraciones de seguridad estándar para los recursos de Azure con Azure Policy. Use alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de los recursos de Azure y las definiciones de directiva integradas relacionadas con los recursos específicos.

Responsabilidad: Customer

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: Use Microsoft Defender for Cloud para llevar a cabo exámenes de línea de base para los recursos de Azure Virtual Network y relacionados. Igualmente, use Azure Policy para alertar y auditar las configuraciones de los recursos de Azure.

Responsabilidad: Customer

7.11: Administre los secretos de Azure de forma segura

Guía: Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos de los recursos de Azure hospedados en Azure Virtual Network.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: use Azure Resource Manager para implementar una red virtual y los recursos relacionados. Azure Resource Manager proporciona la capacidad de exportar plantillas, que se pueden usar como copias de seguridad para restaurar la red virtual y los recursos relacionados. Use Azure Automation para llamar a la API de exportación de plantillas de Azure Resource Manager de forma periódica.

Responsabilidad: Customer

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: use Azure Resource Manager para implementar una red virtual y los recursos relacionados. Azure Resource Manager proporciona la capacidad de exportar plantillas, que se pueden usar como copias de seguridad para restaurar la red virtual y los recursos relacionados. Use Azure Automation para llamar a la API de exportación de plantillas de Azure Resource Manager de forma periódica. Realice una copia de seguridad de las claves administradas por el cliente en Azure Key Vault.

Responsabilidad: Customer

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: realice periódicamente la implementación de las plantillas de Azure Resource Manager en una suscripción aislada y pruebe la restauración de las copias de seguridad de las claves administradas por el cliente.

Responsabilidad: Customer

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Use Azure DevOps para almacenar y administrar de forma segura el código, como definiciones de Azure Policy personalizadas y plantillas de Azure Resource Manager.

Conceda o deniegue permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integra con Azure DevOps, o en Active Directory si se integra con Team Foundation Server.

Use el control de acceso basado en roles de Azure (RBAC de Azure) para proteger las claves administradas por el cliente.

Habilite la eliminación temporal y la protección de purga en Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención malintencionada detrás de la actividad que condujo a la alerta.

Marque claramente las suscripciones (por ejemplo, producción, no producción) con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua.

Puede usar también el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: use la característica Automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en la nube, los servicios y las aplicaciones administrados por Microsoft.

Responsabilidad: Compartido

Pasos siguientes