Introducción a Azure Security Benchmark (v3)

La prueba comparativa de seguridad de Azure (ASB) proporciona recomendaciones y procedimientos recomendados para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios de Azure. Esta prueba comparativa forma parte de un conjunto de instrucciones de seguridad holísticas que también incluyen:

La prueba comparativa de seguridad de Azure se enfoca en las áreas de control centradas en la nube. Estos controles son coherentes con pruebas comparativas de seguridad conocidas, como las descritas por el Centro de controles de seguridad de Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y el Estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS).

Novedades de ASB v3

Estas son las novedades de Azure Security Benchmark v3:

  • Las asignaciones a los marcos de trabajo del sector PCI-DSS v3.2.1 y cis controls v8 se agregan además de las asignaciones existentes a los controles CIS v7.1 y NIST SP800-53 Rev4.
  • El perfeccionamiento de la guía de control para que sea más granular y más práctica, por ejemplo, la guía de seguridad ahora se divide en dos partes independientes: Principio de seguridad y Guía de Azure. El principio de seguridad es el "qué", que explica el control en el nivel independiente de la tecnología; La guía de Azure se centra en el "cómo", y se centra en las características técnicas pertinentes y las formas de implementar los controles en Azure.
  • La adición de nuevos controles, por ejemplo, DevOps Security como una nueva familia de controles que también incluye temas como el modelado de amenazas y la seguridad de la cadena de suministro de software. La administración de claves y certificados se introdujo para recomendar los procedimientos recomendados de administración de claves y certificados en Azure.

Controles

Los controles siguientes se incluyen en Azure Security Benchmark v3:

Dominios de control de ASB Descripción
Seguridad de red (NS) Seguridad de red cubre los controles para proteger y proteger las redes de Azure, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y mitigación de ataques externos y la protección de DNS.
Administración de identidades (IM) La administración de identidades cubre controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory, incluido el uso del inicio de sesión único, las autenticaciones sólidas, las identidades administradas (y las entidades de servicio) para las aplicaciones, el acceso condicional y la supervisión de las anomalías de cuenta.
Acceso con privilegios (PA) El acceso con privilegios cubre los controles para proteger el acceso con privilegios a los recursos y al inquilino de Azure, e incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
Protección de datos (DP) Protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluidos la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y certificados en Azure.
Administración de recursos (AM) Asset Asset Management abarca controles para garantizar la visibilidad y la gobernanza de la seguridad sobre los recursos de Azure, incluidas recomendaciones sobre permisos para el personal de seguridad, acceso de seguridad al inventario de recursos y administración de aprobaciones de servicios y recursos (inventario, seguimiento y corrección).
Registro y detección de amenazas (LT) El registro y la detección de amenazas cubre los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para servicios de Azure, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con la detección de amenazas nativa en los servicios de Azure. También incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de la hora y la retención de registros.
Respuesta a los incidentes (IR) La respuesta a incidentes abarca los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores al incidente, incluido el uso de servicios de Azure como Microsoft Defender para Cloud y Sentinel para automatizar el proceso de respuesta a incidentes.
Administración de posiciones y vulnerabilidades (PV) La administración de posiciones y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, incluido el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure.
Seguridad del punto de conexión (ES) La seguridad del punto de conexión cubre los controles de detección y respuesta de puntos de conexión, incluido el uso de la detección de puntos de conexión y la respuesta (EDR), así como el servicio antimalware para los puntos de conexión en entornos de Azure.
Copia de seguridad y recuperación (BR) La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen.
DevOps seguridad (DS) DevOps Security cubre los controles relacionados con la ingeniería de seguridad y las operaciones en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas de seguridad de aplicaciones estáticas, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad a lo largo del DevOps process; también incluye temas comunes como el modelado de amenazas y la seguridad de suministro de software.
Gobernanza y estrategia (GS) La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.

Recomendaciones de pruebas comparativas de seguridad de Azure

Cada recomendación incluye la siguiente información:

  • Identificador de ASB:el identificador de Azure Security Benchmark que corresponde a la recomendación.
  • Identificadores de CONTROLES DE CIS v8:los controles de CIS v8 que corresponden a la recomendación.
  • Identificadores de CIS Controls v7.1:los controles CIS v7.1 que corresponden a la recomendación (no están disponibles en la Web debido al motivo de formato).
  • Identificadores de PCI-DSS v3.2.1:los controles PCI-DSS v3.2.1 que corresponden a la recomendación.
  • IDENTIFICADORES DE NIST SP 800-53 r4:los controles NIST SP 800-53 r4 (moderados y altos) que corresponden a esta recomendación.
  • Principio deseguridad: la recomendación se centra en el "qué", que explica el control en el nivel independiente de la tecnología.
  • Guía de Azure:la recomendación se centra en el "cómo", donde se explican las características técnicas de Azure y los conceptos básicos de implementación.
  • Contexto de implementación y adición:los detalles de implementación y otro contexto pertinente que se vincula a los artículos de documentación de la oferta de servicio de Azure.
  • Partes interesadasde seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, responsables o consultadas para el control correspondiente. Puede ser diferente entre las organizaciones en función de la estructura de la organización de seguridad de la empresa, así como de los roles y las responsabilidades que configure relacionados con la seguridad de Azure.

Nota

Las asignaciones de control entre ASB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que se pueden usar características específicas de Azure para abordar total o parcialmente un requisito de control definido en estas pruebas comparativas del sector. Debe tener en cuenta que esta implementación no se traduce necesariamente en el cumplimiento completo de los controles correspondientes en estas pruebas comparativas del sector.

Le agradecemos sus comentarios detallados y su participación activa en el trabajo de pruebas comparativas de seguridad de Azure. Si quiere proporcionar la entrada directa del equipo de Azure Security Benchmark, rellene el formulario en https://aka.ms/AzSecBenchmark.

Descargar

También puede descargar la instancia de Azure Security Benchmark en formato de hoja de cálculo.

Pasos siguientes