Línea de base de seguridad de Azure para VPN Gateway

Esta línea de base de seguridad aplica las instrucciones de Azure Security Benchmark, versión 2.0 a VPN Gateway. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a VPN Gateway.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a VPN Gateway y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo VPN Gateway se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de VPN Gateway completo .

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Cree o use una red virtual existente para implementar recursos de Azure VPN Gateway. Asegúrese de que todas las redes virtuales de Azure sigan un principio de segmentación empresarial que se alinee con los riesgos empresariales. Aísle cualquier sistema de alto riesgo dentro de su propia red virtual.

Proteja la red virtual con un grupo de seguridad de red (NSG) o con Azure Firewall. Se recomiendan configuraciones de NSG basadas en reglas de tráfico de red externas. Use la protección de red adaptable de Microsoft Defender for Cloud para limitar los puertos y las IP de origen.

Use reglas de NSG para restringir o permitir el tráfico entre recursos internos. Base las reglas en las aplicaciones y la estrategia de segmentación empresarial. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, pueden ser reglas muy seguras de denegación de manera predeterminada.

La comunicación de la infraestructura de Azure requiere los puertos, que no están publicados. Los certificados de Azure protegen y bloquean los puertos. Sin los certificados adecuados, las entidades externas, incluidos los clientes de puerta de enlace, no pueden incidir en esos puntos de conexión.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la VPN de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. ExpressRoute ofrece más confiabilidad, velocidades más altas y menores latencias que las conexiones a Internet habituales.

Para las VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar dos o más redes virtuales en Azure, use el emparejamiento de red virtual. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Compartido

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: VPN de Azure admite protocolos IPsec/IKE estándar:

  • puertos UDP 500 y 4500
  • Protocolo ESP

La VPN de punto a sitio usa el puerto TCP 443 para conexiones seguras basadas en TLS.

VPN Gateway no permite que sus puntos de conexión de administración se protejan en una red privada con Private Link.

VPN Gateway no puede configurar puntos de conexión de servicio de Azure Virtual Network.

Responsabilidad: Compartido

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: Proteja los recursos de VPN Gateway frente a ataques de redes externas. Los ataques externos pueden incluir ataques distribuidos de denegación de servicio (DDoS), ataques específicos de la aplicación y tráfico de Internet no solicitado y potencialmente malintencionado.

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección Azure DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos de red.

VPN Gateway no ejecuta aplicaciones web, por lo que no es necesario configurar ningún parámetro ni implementar ningún servicio de red para protegerse frente a ataques externos que tienen como destino aplicaciones web.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: La VPN de Azure usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe estandarizar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Recursos de Microsoft Cloud. Los recursos incluyen:

    • El Portal de Azure

    • Azure Storage

    • Máquinas virtuales de Linux y Windows de Azure

    • Azure Key Vault

    • Plataforma como servicio (PaaS)

    • Aplicaciones de software como servicio (SaaS)

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen un cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos.

La VPN de punto a sitio (P2S) de Azure admite la autenticación de Azure AD. Los clientes también pueden configurar la VPN P2S para usar la autenticación nativa basada en certificados o la autenticación basada en RADIUS.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: VPN Gateway usa Azure AD para proporcionar administración de identidades y accesos a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Azure AD administra identidades empresariales, como empleados, e identidades externas, como asociados y proveedores. Azure AD habilita el inicio de sesión único (SSO) para administrar y proteger el acceso a los recursos y los datos locales y en la nube de su organización.

Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD. Azure AD ofrece un acceso seguro y sin problemas y mayor visibilidad y control.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo aisladas y protegidas son fundamentales para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas.

Use Azure AD, Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada. Puede administrar, de forma centralizada, estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

Responsabilidad: Customer

PA-7: Seguir el principio de privilegios mínimos para la administración

Guía: Se integra con Azure RBAC para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal. Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-4: Cifrado de la información confidencial en tránsito

Guía: La VPN de sitio a sitio usa IPsec o IKE. El protocolo de la ruta de acceso de los datos es Carga de seguridad encapsuladora (ESP).

Use el cifrado para proteger los datos en tránsito frente a ataques fuera de banda, como la captura de tráfico. El cifrado garantiza que los atacantes no puedan leer ni modificar fácilmente los datos. VPN Gateway admite el cifrado de datos en tránsito con Seguridad de la capa de transporte (TLS) v1.2 o superior.

Este requisito es opcional para el tráfico en redes privadas, pero crítico para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden usar TLS v1.2 o superior.

Para la administración remota, use Secure Shell (SSH) para Linux o el Protocolo de escritorio remoto (RDP) y TLS para Windows. No use un protocolo sin cifrar. Deshabilite los cifrados débiles y las versiones y los protocolos SSL, TLS y SSH obsoletos.

Azure cifra los datos en tránsito entre centros de datos de Azure de manera predeterminada.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Confirmación de que el equipo de seguridad tiene visibilidad sobre los riesgos de los recursos

Guía: Asegúrese de conceder permisos de Lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino entero, o conceder permisos a suscripciones o grupos de administración específicos.

Nota: La visibilidad de las cargas de trabajo y los servicios puede requerir más permisos.

Responsabilidad: Customer

AM-2: Asegúrese de que el equipo de seguridad pueda acceder a los metadatos y el inventario de recursos

Guía: Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos en Azure actualizado continuamente, como VPN Gateway. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización y asígnele acceso de lectura a todos los recursos de VPN Gateway. Puede simplificar el proceso con una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de Azure Virtual Machine para automatizar la recopilación de información sobre software en máquinas virtuales (VM). El nombre del software, la versión, el editor y la hora de actualización están disponibles en Azure Portal. Para acceder a las fechas de instalación y otra información, habilite los diagnósticos de nivel de invitado e importe los registros de eventos de Windows en un área de trabajo de Log Analytics.

Azure VPN no permite ejecutar una aplicación ni instalar software en sus recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y descubrir recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: VPN Gateway no proporciona capacidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.

Reenvíe los registros de VPN Gateway al sistema de administración de eventos e información de seguridad (SIEM). Puede usar SIEM para configurar detecciones de amenazas personalizadas.

Asegúrese de supervisar los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad, para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de los datos de registro, agentes u otros datos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en los informes de Azure AD. Puede integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas SIEM y de supervisión para casos de uso complejos de supervisión y análisis.

  • Inicios de sesión: proporcionan información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados con diversas características de Azure AD. Los registros de auditoría incluyen los cambios realizados en cualquier recurso dentro de Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: indicador de un intento de inicio de sesión, por parte de alguien que puede no ser el propietario legítimo de una cuenta de usuario.

  • Usuario marcado como en riesgo: indicador de que una cuenta de usuario puede estar en peligro.

Microsoft Defender for Cloud también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación con error. Las cuentas de la suscripción que estén en desuso también pueden desencadenar alertas.

Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud puede recopilar alertas de seguridad más detalladas de:

  • Recursos de proceso individuales de Azure, como máquinas virtuales, contenedores y servicios de aplicaciones

  • Recursos de datos, como Azure SQL Database y Azure Storage

  • Capas de servicio de Azure

Esta capacidad le permite ver las anomalías de las cuentas en los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Habilite y recopile los registros de recursos del grupo de seguridad de red (NSG), los registros de flujo del NSG, los registros de Azure Firewall y los registros de Web Application Firewall (WAF) para el análisis de seguridad. Los registros posibilitan la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para proporcionar información.

VPN Gateway registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la funcionalidad de registro de flujo de NSG en la instancia de VPN Gateway implementada.

VPN Gateway no genera ni procesa registros de consultas DNS.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

LT-4: Habilitación del registro para recursos de Azure

Guía: Los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de VPN Gateway. Puede usar registros de actividad para buscar errores al solucionar problemas o para supervisar cómo los usuarios modificaron los recursos.

Habilite los registros de recursos de Azure para VPN Gateway. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y para la realización de ejercicios forenses.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: Para las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que almacenan registros de VPN Gateway, establezca un período de retención de registros que se ajuste a las regulaciones de cumplimiento de su organización.

Responsabilidad: Customer

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Use Azure Blueprints para automatizar la implementación y configuración de los entornos de aplicaciones y de servicios. Una única definición de plano técnico puede incluir plantillas de Azure Resource Manager, controles RBAC y directivas.

Puede configurar directivas criptográficas personalizadas para VPN Gateway mediante Azure Portal, PowerShell o la CLI de Azure.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: Puede configurar directivas IPsec/IKE personalizadas para VPN Gateway mediante Azure Portal, PowerShell o la CLI de Azure.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las VM y los contenedores.

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Instrucciones: No aplicable. Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten VPN Gateway.

Responsabilidad: Microsoft

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft. Siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

Responsabilidad: Microsoft

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: Proteja VPN Gateway y sus recursos con software antimalware moderno y administrado de manera centralizada.

  • Use una solución antimalware para punto de conexión administrada centralmente capaz de realizar análisis periódicos y en tiempo real.

  • Use Antimalware para Azure Cloud Services como solución antimalware predeterminada para las VM de Windows.

  • En el caso de las VM de Linux, use una solución antimalware de un tercero.

  • Use la detección de amenazas de Microsoft Defender for Cloud para que los servicios de datos detecten malware cargado en las cuentas de Azure Storage.

  • Use Microsoft Defender for Cloud para hacer lo siguiente automáticamente:

    • Identificar varias soluciones antimalware populares para sus VM.
    • Informar del estado de ejecución de la protección de puntos de conexión.
    • Hace recomendaciones.

Responsabilidad: Microsoft

ES-3: Asegúrese de actualizar el software antimalware y las firmas

Guía: Asegúrese de actualizar las firmas de antimalware de forma rápida y coherente.

Siga las recomendaciones de Microsoft Defender for Cloud: "Proceso y aplicaciones" para asegurarse de que todas las VM y contenedores estén actualizados con las firmas más recientes.

Para Windows, Microsoft Antimalware instala automáticamente las últimas firmas y actualizaciones del motor de manera predeterminada. Para Linux, use una solución antimalware de terceros.

Responsabilidad: Microsoft

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de ejecución de copias de seguridad automatizadas periódicas

Instrucciones: No aplicable. VPN Gateway no admite la copia de seguridad de datos y no tiene necesidad de realizar la copia de seguridad de datos.

Responsabilidad: Microsoft

BR-2: Cifrado de los datos de copia de seguridad

Guía: El servicio VPN Gateway utiliza la replicación automática de datos de Azure Storage para los metadatos del sistema que almacena. VPN Gateway también usa las características de cifrado en reposo de Azure Storage.

Responsabilidad: Microsoft

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: VPN Gateway usa las características de replicación de Azure Storage.

Responsabilidad: Microsoft

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Asegúrese de tener medidas para evitar la pérdida de claves y recuperarse ante esta situación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

VPN Gateway usa las características de replicación de Azure Storage.

Responsabilidad: Customer

Pasos siguientes