Base de referencia de seguridad de Azure para Azure VMware Solution

Esta base de referencia de seguridad aplica la guía de Azure Security Benchmark, versión 2.0, en Azure VMware Solution. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa en función de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure VMware Solution.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure VMware Solution y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure VMware Solution se adapta por completo a Azure Security Benchmark, consulte el archivo completo de asignación de base de referencia de seguridad de Azure VMware Solution.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: al implementar recursos de VMware Solution, cree una red virtual o use una existente. Asegúrese de que todas las redes virtuales de Azure sigan un principio de segmentación empresarial. Debe alinearse con los riesgos empresariales. Aísle todo sistema que pueda provocar un mayor riesgo para la organización dentro de su propia red virtual. Proteja el sistema lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.

Use una protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de NSG que limiten los puertos y las IP de origen en función de reglas de tráfico de red externo.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, puede ser una regla muy segura de "denegación de manera predeterminada".

Azure VMware Solution requiere los siguientes puertos para habilitar ciertas funcionalidades:

Source Destination Protocolo Port Descripción
Servidor del Sistema de nombres de dominio (DNS) de nube privada Servidor DNS local UDP 53 Cliente DNS: solicitudes de reenvío desde la instancia de vCenter de PC para cualquier consulta de DNS local (consulte la sección DNS siguiente).
Servidor DNS local Servidor DNS de la nube privada UDP 53 Cliente DNS: solicitudes de reenvío desde servicios locales a servidores DNS de la nube privada (consulte la sección DNS siguiente).
Red local Servidor vCenter de nube privada TCP(HTTP) 80 vCenter Server requiere el puerto 80 para conexiones HTTP directas. El puerto 80 redirige las solicitudes al puerto HTTPS 443. Este redireccionamiento ayuda si usa http://server en lugar de https://server. WS-Management también requiere que el puerto 443 esté abierto. Si utiliza una base de datos de Microsoft SQL personalizada y no la base de datos agrupada de SQL Server 2008 en vCenter Server, SQL Reporting Services usa el puerto 80. Al instalar vCenter Server, el instalador solicita que cambie el puerto HTTP para vCenter Server. Cambie el puerto HTTP de vCenter Server a un valor personalizado para garantizar una correcta instalación. Microsoft Internet Information Services (IIS) también usa el puerto 80. Consulte el conflicto entre vCenter Server e IIS para el puerto 80.
Red de administración de la nube privada Active Directory local TCP 389 Este puerto debe estar abierto en la instancia local y en todas las instancias remotas de vCenter Server. Se trata del número de puerto LDAP de servicios de directorio para el grupo de vCenter Server. El sistema vCenter Server debe enlazar con el puerto 389, incluso si no va a unir esta instancia de vCenter Server a un grupo en Linked Mode. Si se está ejecutando otro servicio en este puerto, podría ser preferible quitarlo o cambiarlo por otro. El servicio LDAP se puede ejecutar en cualquier puerto, del 1025 al 65535. Si esta instancia actúa como el servicio Active Directory de Microsoft Windows, cambie el número de puerto 389 por otro disponible, del 1025 al 65535. Este puerto es opcional para configurar AD local como origen de identidad en vCenter de nube privada.
Red local Servidor vCenter de nube privada TCP(HTTPS) 443 Este puerto permite acceder a vCenter desde una red local. El puerto predeterminado que el sistema vCenter Server usa para escuchar las conexiones desde vSphere Client. Para permitir que el sistema vCenter Server reciba datos desde vSphere Cliente, abra el puerto 443 en el firewall. El sistema vCenter Server también utiliza el puerto 443 para supervisar la transferencia de datos desde clientes del SDK. Este puerto también se utiliza para los siguientes servicios: WS-Management también requiere que el puerto 80 esté abierto. Acceso del cliente de vSphere a vSphere Update Manager. Conexiones de cliente de administración de redes de terceros a vCenter Server. Los clientes de administración de redes de terceros acceden a los hosts.
Explorador web Hybrid Cloud Manager TCP(HTTPS) 9443 Interfaz de administración de aplicaciones virtuales de Hybrid Cloud Manager para la configuración del sistema de Hybrid Cloud Manager.
Red de administración Hybrid Cloud Manager SSH 22 Acceso SSH de administrador a Hybrid Cloud Manager.
HCM Puerta de enlace en la nube TCP(HTTPS) 8123 Se envían instrucciones del servicio de replicación basadas en host a Hybrid Cloud Gateway.
HCM Puerta de enlace en la nube HTTP TCP(HTTPS) 9443 Se envían instrucciones de administración a la instancia de Hybrid Cloud Gateway local mediante la API REST.
Puerta de enlace en la nube L2C TCP(HTTPS) 443 Se envían instrucciones de administración de Cloud Gateway a L2C si L2C usa la misma ruta de acceso que Hybrid Cloud Gateway.
Puerta de enlace en la nube Hosts de ESXi TCP 80,902 Administración e implementación de OVF.
Puerta de enlace en la nube (local) Puerta de enlace en la nube (remota) UDP 4500 Necesario para el intercambio de claves por red (IKEv2) de IPSEC para encapsular las cargas de trabajo para el túnel bidireccional. También se admite la traducción transversal de direcciones de red (NAT-T).
Puerta de enlace en la nube (local) Puerta de enlace en la nube (remota) UDP 500 Necesario para el intercambio de claves por red (ISAKMP) de IPSEC para el túnel bidireccional.
Red vCenter local Red de administración de la nube privada TCP 8000 Migración de máquinas virtuales mediante vMotion, de una instancia local vCenter a una instancia en la nube privada de vCenter de nube privada.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación.

Las conexiones ExpressRoute no usan la red de Internet pública y ofrecen más confiabilidad, velocidad y una menor latencia que las conexiones a Internet habituales. Para VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual. Use cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar dos o más redes virtuales de Azure, use el emparejamiento de red virtual. El tráfico entre redes virtuales emparejadas es privado y permanece en la red troncal de Azure.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: los recursos de Azure VMware Solution usan la inserción de red virtual. Se implementan directamente en una red virtual. El servicio no admite el uso de Private Link para establecer la conectividad a una red privada.

Al implementar los recursos de Azure VMware Solution, debe crear una red virtual o usar una existente. Asegúrese de que la red virtual elegida tenga aplicado un grupo de seguridad de red en sus subredes, así como configurados los controles de acceso a la red específicamente para los puertos y orígenes de confianza de la aplicación. Si los usuarios configuran los recursos con una red virtual, no están disponibles públicamente y solo se puede acceder a ellos desde dentro de la red virtual.

En función de las necesidades de su organización, use el servicio Azure Firewall para crear, aplicar y registrar de forma centralizada directivas de conectividad de red y de aplicaciones entre suscripciones y redes virtuales.

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: proteja los recursos de Azure VMware Solution frente a ataques de redes externas. Entre los ataques se pueden incluir:

  • Ataques de denegación de servicio distribuido (DDoS)

  • Ataques específicos de la aplicación

  • Tráfico de Internet no solicitado y potencialmente malintencionado

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Para proteger los recursos frente a ataques DDoS, habilite DDoS Protection Estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Use las funcionalidades de Web Application Firewall (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger sus aplicaciones que se ejecutan en la solución de VMware en Azure frente a ataques a nivel de aplicación.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los NSG o instancias de Azure Firewall configurados para los recursos de Azure VMware Solution. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique un nombre de etiqueta de servicio en el campo apropiado de origen o destino de una regla para permitir o denegar el tráfico para el servicio. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

El servicio Azure VMware Solution No tiene etiquetas de servicio específicas reservadas. Sin embargo, aún puede usar etiquetas de servicio para simplificar las reglas de red en las redes en las que implemente los recursos de VMware Solution.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como los siguientes:

  • DNS pendientes.

  • Ataques de amplificación de DNS

  • Envenenamiento de DNS

  • Suplantación de identidad

  • Etcétera.

Cuando use Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS estén protegidos contra modificaciones accidentales o malintencionadas mediante el control de acceso basado en roles (RBAC) de Azure y bloqueos de recursos.

Responsabilidad: Compartido

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure VMware Solution usa Azure Active Directory (Azure AD) como servicio predeterminado de administración de identidades y acceso. Estandarice Azure AD para controlar la administración de identidades y acceso de la organización en:

  • Recursos de Microsoft Cloud. Los recursos incluyen:

    • El Portal de Azure

    • Azure Storage

    • Máquinas virtuales Linux y Windows de Azure

    • Azure Key Vault

    • Plataforma como servicio (PaaS)

    • Aplicaciones de software como servicio (SaaS)

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas. Los usuarios que no tengan una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Azure VMware Solution proporciona un grupo de CloudAdmin que puede usar para incorporar el servicio en Azure Active Directory. Recibirá credenciales para un usuario cloudadmin en vCenter y acceso de administrador en NSX-T Manager.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Azure VMware Solution no admite asignar a los recursos identidades administradas por Azure AD. Para mejorar la seguridad, las nubes privadas de Azure VMware Solution usan el control de acceso basado en rol de vSphere.

En los casos en los que tenga que configurar permisos de aplicación para Azure VMware Solution, use Azure AD para crear una entidad de servicio con permisos restringidos a nivel de recurso para configurar entidades de servicio con credenciales de certificado y volver a los secretos de cliente. Los scripts o aplicaciones que se ejecutan en el servicio pueden usar esta entidad de servicio para llevar a cabo acciones en Azure. En ambos casos, use Azure Key Vault con identidades administradas por Azure AD, de modo que un entorno en tiempo de ejecución, como una instancia de Azure Functions, recupere la credencial del almacén de claves.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: para las actividades de administración, Azure VMware Solution usa Azure AD como proveedor de identidades para administrar sus recursos de Azure.

En los casos internos, las nubes privadas de Azure VMware Solution usan el control de acceso basado en roles de vSphere para mejorar la seguridad. Puede integrar las funcionalidades LDAP del inicio de sesión único de vSphere en Azure AD. Cuando haya configurado la integración, esto habilita el inicio de sesión único (SSO) para administrar y proteger el acceso a los datos y recursos de su organización en el entorno local y en la nube. Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD para un acceso seguro y sin problemas, y para conseguir más visibilidad y control.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Azure VMware Solution permite a los clientes implementar sus recursos a través de implementaciones de infraestructura como código que pueden contener secretos incrustados. Implemente Credential Scanner para identificar las credenciales dentro de las plantillas de infraestructura para los recursos de Azure VMware Solution. Credential Scanner también le animará a mover las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, use la característica nativa de análisis de secretos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios con estos dos roles pueden delegar roles de administrador.

  • Los roles Administrador global y Administrador de empresa tienen acceso a todas las características de administración de Azure AD y a los servicios que usan identidades de Azure AD.

  • El Administrador de roles con privilegios puede administrar las asignaciones de roles en Azure AD y Azure AD Privileged Identity Management (PIM). Este rol puede administrar todos los aspectos de PIM y unidades administrativas.

En Azure VMware Solution, vCenter tiene un usuario local integrado denominado cloudadmin que está asignado al rol CloudAdmin. El usuario local cloudadmin configura los usuarios en AD. El rol CloudAdmin crea y administra las cargas de trabajo en la nube privada. En cambio, en Azure VMware Solution, el rol CloudAdmin tiene privilegios de vCenter que son distintos de otras soluciones en la nube de VMware.

Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel alto. Los usuarios con privilegios elevados pueden leer y modificar directa o indirectamente todos los recursos de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en su organización de Azure AD.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure VMware Solution usa cuentas de Azure AD para administrar sus recursos. Revise periódicamente las cuentas de usuario y las asignaciones de acceso para asegurarse de que las cuentas y su acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede crear flujos de trabajo de informes de revisión de acceso en Azure AD Privileged Identity Management (PIM) para facilitar el proceso de revisión.

Puede configurar Azure AD PIM para que le alerte cuando haya demasiadas cuentas de administrador. PIM puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Las nubes privadas de Azure VMware Solution se aprovisionan con vCenter Server y NSX-T Manager. Puede usar vCenter para administrar cargas de trabajo de máquinas virtuales (VM), y NSX-T Manager para administrar y ampliar la nube privada. En la administración de identidades y acceso se usa el rol CloudAdmin para vCenter y derechos de administrador restringidos para NSX-T Manager.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son críticas para la seguridad de los roles con acceso a información confidencial, como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad y Azure Bastion para las tareas administrativas.

Use Azure AD, ATP de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar de manera centralizada estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

  • Autenticación sólida

  • Líneas base de software y hardware

  • Acceso lógico y de red restringido

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure VMware Solution se integra en Azure RBAC para administrar sus recursos. Con RBAC puede administrar el acceso a los recursos de Azure a través de asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal.

Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use los roles integrados para dar permisos, y cree solo los roles personalizados cuando sea necesario.

Las nubes privadas de Azure VMware Solution se aprovisionan con vCenter Server y NSX-T Manager. Puede usar vCenter para administrar cargas de trabajo de VM, y NSX-T Manager para administrar y ampliar la nube privada. En la administración de identidades y acceso se usa el rol CloudAdmin para vCenter y derechos de administrador restringidos para NSX-T Manager.

En Azure VMware Solution, vCenter tiene un usuario local integrado denominado cloudadmin que está asignado al rol CloudAdmin. El usuario cloudadmin local se usa para configurar usuarios en Azure AD. El rol CloudAdmin crea y administra las cargas de trabajo en la nube privada. En cambio, en Azure VMware Solution, el rol CloudAdmin tiene privilegios de vCenter que son distintos de otras soluciones en la nube de VMware.

Además, Azure VMware Solution admite el uso de roles personalizados con privilegios iguales o menores que el rol CloudAdmin. Se utilizará el rol CloudAdmin para crear, modificar o eliminar roles personalizados que tengan privilegios iguales o menores que su rol actual. Puede crear roles con privilegios mayores que CloudAdmin. No puede asignar el rol a ningún usuario o grupo ni eliminar el rol.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Azure VMware Solution no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Microsoft

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: Proteja los datos confidenciales mediante la restricción del acceso con RBAC de Azure, controles de acceso basados en la red y controles específicos de los servicios de Azure. Por ejemplo, use cifrado en SQL y otras bases de datos.

Para mantener la coherencia, alinee todos los tipos de control de acceso con la estrategia de segmentación empresarial. Conforme la estrategia de segmentación de su empresa con la ubicación de sistemas y datos confidenciales o críticos para la empresa.

Microsoft trata como confidencial todo el contenido del cliente de la plataforma subyacente administrada por Microsoft. Microsoft protege contra la pérdida y exposición de datos de los clientes. Microsoft tiene controles y funcionalidades predeterminados de protección de datos para garantizar que los datos de los clientes de Azure permanezcan seguros.

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques fuera de banda, como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos. Azure VMware Solution admite el cifrado de datos en tránsito con TLS v1.2.

Este requisito es opcional para el tráfico en redes privadas, pero es crítico para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure puedan usar TLS v1.2 o superior.

Para la administración remota, use TLS en lugar de un protocolo sin cifrar. Se deben deshabilitar las versiones SSL y TLS obsoletas o los cifrados débiles.

Azure cifra los datos en tránsito entre centros de datos de Azure de manera predeterminada.

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Azure VMware Solution cifra los datos en reposo para protegerlos frente a ataques "fuera de banda", como el acceso al almacenamiento subyacente, mediante cifrado. El cifrado ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos muy confidenciales, tiene opciones para implementar cifrado adicional en reposo en todos los recursos de Azure donde estén disponibles. Azure administra las claves de cifrado de manera predeterminada para Azure VMware Solution. No proporciona una opción para que usted administre sus propias claves administradas por el cliente.

Los almacenes de datos de vSAN usan el cifrado de datos en reposo de forma predeterminada mediante claves almacenadas en Azure Key Vault. La solución de cifrado se basa en KMS y admite operaciones de vCenter para la administración de claves. Cuando quite un host de un clúster, los datos de los discos SSD se invalidan de inmediato.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de conceder permisos de Lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad con Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar los permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino completo, o definir el ámbito de los permisos a suscripciones o grupos de administración específicos.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos de Azure continuamente actualizado, como Azure VMware Solution. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y como fuente para mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización. Asígneles acceso de lectura a todos los recursos de Azure VMware Solution. Para simplificar el proceso, puede usar una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software de las máquinas virtuales. El nombre del software, la versión, el editor y la hora de actualización están disponibles en Azure Portal. Para acceder a las fechas de instalación y a otra información, habilite los diagnósticos de nivel de invitado y transfiera los registros de eventos de Windows a un área de trabajo de Log Analytics.

Use controles de aplicaciones adaptables de Microsoft Defender for Cloud para especificar a qué tipos de archivo se aplica una regla o no.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos en las suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: use el inventario de VM de Azure para automatizar la recopilación de información sobre todo el software de las VM relacionadas con Azure VMware Solution. El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener acceso a la fecha de instalación y otra información, habilite los diagnósticos de nivel de invitado y transfiera los registros de eventos de Windows a un área de trabajo de Log Analytics.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: reenvíe a SIEM los registros de Azure VMware Solution que se puedan usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de los datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. También puede integrar los registros en Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión y SIEM para casos de uso de supervisión y análisis más sofisticados.

  • Inicios de sesión: información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuarios.

  • Registros de auditoría: rastreabilidad a través de registros de todos los cambios realizados por características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de intentos de inicio de sesión de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados en riesgo: indicador de que una cuenta de usuario puede haber estado en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación erróneos. Las cuentas en desuso de la suscripción también pueden desencadenar alertas.

Microsoft Defender for Cloud también puede alertar sobre actividades sospechosas, como un número excesivo de intentos de autenticación erróneos, o sobre cuentas en desuso.

Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud puede recopilar alertas de seguridad más detalladas de:

  • Recursos de proceso concretos de Azure, como máquinas virtuales, contenedores y App Service.

  • Recursos de datos, como Azure SQL Database y Azure Storage.

  • Capas de servicio de Azure.

Esta capacidad permite detectar anomalías en las cuentas en recursos concretos.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: habilite y recopile registros de recursos de NSG, registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF). Use los registros para el análisis de seguridad para admitir la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.

Asegúrese de recopilar registros de consulta DNS para ayudar a correlacionar otros datos de red. Implemente la solución de un tercero de Azure Marketplace para el registro DNS para satisfacer las necesidades de su organización.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de Azure VMware Solution, excepto las operaciones de lectura (GET). Puede usar registros de actividad para buscar errores al solucionar problemas, o para supervisar cómo los usuarios de su organización han modificado los recursos.

Habilite los registros de recursos de Azure para Azure VMware Solution. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y para llevar a cabo ejercicios forenses.

Azure VMware Solution también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite los registros de auditoría de administrador local.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Para cada origen de registro, asegúrese de tener lo siguiente:

  • Un propietario de datos asignado

  • Guía de acceso

  • Ubicación de almacenamiento

  • Las herramientas que usa para procesar y acceder a los datos

  • Requisitos de retención de datos

Asegúrese de integrar los registros de actividad de Azure en su registro central.

Ingiera los registros mediante Azure Monitor para agregar los datos de seguridad que generan los dispositivos de punto de conexión, los recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis.

Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

Para las aplicaciones que se ejecutan en Azure VMware Solution, reenvíe todos los registros relacionados con la seguridad a su SIEM para lograr una administración centralizada.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos "calientes" de acceso frecuente, y Azure Storage para los datos "fríos" que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que use para almacenar registros de Azure VMware Solution tengan establecidos períodos de retención de registros. Si aún no lo ha hecho, establezca los períodos de retención de registros según las normas de cumplimiento de su organización.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía:Microsoft mantiene los orígenes de hora de la mayoría de los servicios PaaS y SaaS de la plataforma de Azure. En el caso de las máquinas virtuales, use un servidor predeterminado del protocolo de hora de red (NTP) de Microsoft para la sincronización de hora, a menos que tenga un requisito específico. Si tiene que instalar su propio servidor NTP, asegúrese de proteger el puerto 123 del servicio UDP. Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Use Azure Blueprints para automatizar la implementación y configuración de los entornos de aplicaciones y de servicios. Una única definición de plano técnico puede incluir plantillas de Azure Resource Manager, controles RBAC y directivas.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para supervisar la línea base de configuración. Use las cadenas [deny] (denegar) y [deploy if not exist] (implementar si no existe) de Azure Policy para aplicar la configuración segura en los recursos de proceso de Azure, incluidas las VM y los contenedores.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las VM, los contenedores y otros elementos.

Puede usar imágenes de sistema operativo personalizado o State Configuration de Azure Automation para establecer la configuración de seguridad del sistema operativo que requiere su organización.

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: use Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales y los contenedores. También puede usar plantillas de Azure Resource Manager (ARM), imágenes personalizadas de sistema operativo o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo que requiere su organización.

Las plantillas de máquina virtual de Microsoft, combinadas con State Configuration de Azure Automation, pueden ayudar a cumplir y mantener los requisitos de seguridad.

Microsoft administra y mantiene las imágenes de máquina virtual que se publican en Azure Marketplace.

Microsoft Defender for Cloud puede examinar las vulnerabilidades de las imágenes de contenedor y supervisar continuamente las configuraciones de los contenedores de Docker con las pruebas comparativas de Docker de CIS. Puede usar la página Recomendaciones de Microsoft Defender for Cloud para ver las recomendaciones y corregir los problemas.

Responsabilidad: Compartido

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía: Azure VMware Solution permite a los clientes administrar las imágenes de contenedor. Use Azure RBAC para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas. Use una instancia de Azure Shared Image Gallery para compartir las imágenes con diferentes usuarios, entidades de servicio o grupos de Azure AD dentro de la organización. Almacene las imágenes de contenedor en Azure Container Registry y use RBAC para garantizar que solo los usuarios autorizados puedan acceder.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: Azure VMware Solution está conformado parcialmente por las VM del cliente. Siga las recomendaciones de Microsoft Defender for Cloud para llevar a cabo evaluaciones de vulnerabilidades en las VM de Azure. Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede ir al portal de la solución seleccionada para ver los datos de análisis históricos.

Azure VMware Solution puede usar la solución de un tercero para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades.

Responsabilidad: Customer

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: Azure VMware Solution permite la implementación del servicio en las VM del cliente. Implemente rápidamente las actualizaciones de software para corregir las vulnerabilidades de software en los sistemas operativos y aplicaciones.

Dé prioridad al uso de un programa de puntuación de riesgos común, como Common Vulnerability Scoring System o la clasificación de riesgos predeterminada proporcionada por la herramienta de análisis de un tercero. Adapte su entorno usando el contexto para el que las aplicaciones presentan un riesgo de seguridad alto y las que requieren un tiempo de actividad alto.

Use Update Management de Azure Automation o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes se instalan en sus máquinas virtuales con Windows y Linux. Para VM Windows, asegúrese de haber habilitado Windows Update y haberlo configurado para actualizarse automáticamente.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción para pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía: habilite las funcionalidades de detección y respuesta de puntos de conexión (EDR) para servidores y clientes. Intégrelas en el SIEM y los procesos de operaciones de seguridad.

Protección contra amenazas avanzada de Microsoft Defender proporciona la funcionalidad de EDR como parte de una plataforma de seguridad empresarial para puntos de conexión para evitar, detectar, investigar y responder a amenazas avanzadas.

Responsabilidad: Customer

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: proteja Azure Machine Learning y sus recursos con software antimalware moderno y administrado de manera centralizada. Use una solución antimalware para puntos de conexión administrada centralmente, que pueda realizar exámenes periódicos y en tiempo real.

  • Microsoft Antimalware para Azure Cloud Services es la solución antimalware predeterminada para las máquinas virtuales Windows.

  • En el caso de las máquinas virtuales Linux, use una solución antimalware de terceros.

  • Use la detección de amenazas de Microsoft Defender for Cloud para que los servicios de datos detecten malware cargado en las cuentas de Azure Storage.

  • Use Microsoft Defender for Cloud para hacer lo siguiente automáticamente:

    • Identificar varias soluciones antimalware populares para sus VM.

    • Informar del estado de ejecución de la protección de puntos de conexión.

    • Hace recomendaciones.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: asegúrese de actualizar las firmas de antimalware de forma rápida y sistemática.

Siga las recomendaciones de Microsoft Defender for Cloud: "Proceso y aplicaciones" para asegurarse de que todas las VM y contenedores estén actualizados con las firmas más recientes.

De manera predeterminada, Microsoft Antimalware instala automáticamente las últimas firmas y actualizaciones del motor para Windows. Si trabaja en un entorno Linux, use una solución antimalware de terceros.

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: asegúrese de hacer copias de seguridad de los sistemas y datos para mantener la continuidad empresarial después de un evento inesperado. Use la guía para sus objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO).

Habilite Azure Backup. Configure los orígenes de copia de seguridad, como máquinas virtuales de Azure, SQL Server, bases de datos de HANA o recursos compartidos de archivos. Configure la frecuencia y el período de retención que desee.

Para una mayor redundancia, habilite las opciones de almacenamiento con redundancia geográfica para replicar los datos de copia de seguridad en una región secundaria y recuperarlos mediante la restauración entre regiones.

Responsabilidad: Compartido

BR-2: Cifrado de los datos de copia de seguridad

Guía: asegúrese de proteger las copias de seguridad frente a ataques. La protección de las copias de seguridad debe incluir el cifrado para protegerlas frente a la pérdida de confidencialidad.

Las copias de seguridad locales mediante Azure Backup ofrecen cifrado en reposo mediante la frase de contraseña que proporcione. Las copias de seguridad periódicas de los servicios de Azure cifran los datos de copia de seguridad automáticamente mediante claves administradas por la plataforma de Azure. Puede optar por cifrar la copia de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente del almacén de claves también esté en el ámbito de la copia de seguridad.

Use RBAC en Azure Backup, Azure Key Vault y otros recursos para proteger las copias de seguridad y las claves administradas por el cliente. También puede habilitar características de seguridad avanzadas para exigir MFA antes de que se puedan modificar o eliminar las copias de seguridad.

Responsabilidad: Compartido

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: realice periódicamente la restauración de datos de la copia de seguridad relacionada con Azure VMware Solution.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

Responsabilidad: Customer

Pasos siguientes