Control de seguridad: Administración de recursos y del inventario

  • Artículo

Nota

La versión más actualizada de Azure Security Benchmark está disponible aquí.

Las recomendaciones de administración de recursos e inventario se centran en solucionar problemas relacionados con la administración activa (inventario, seguimiento y corrección) de todos los recursos de Azure, de forma que solo se concede acceso a los recursos autorizados, y los recursos no autorizados y no administrados se identifican y eliminan.

6.1: Uso de la solución de detección de recursos automatizada

Id. de Azure Id. de CIS Responsabilidad
6.1 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 Customer

Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

6.2: Mantenimiento de metadatos de recursos

Identificador de Azure Id. de CIS Responsabilidad
6.2 1.5 Customer

Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

6.3: Eliminación de recursos de Azure no autorizados

Identificador de Azure Id. de CIS Responsabilidad
6.3 1.6 Customer

Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Id. de Azure Id. de CIS Responsabilidad
6.4 2.1 Customer

Cree un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades de la organización.

6.5: Supervisión de recursos de Azure no aprobados

Identificador de Azure Id. de CIS Responsabilidad
6.5 2.3, 2.4 Customer

Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones.

Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Identificador de Azure Id. de CIS Responsabilidad
6.6 2.3, 2.4 Customer

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre todo el software en Virtual Machines. El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener acceso a la fecha de instalación y otra información, habilite los diagnósticos de nivel de invitado y transfiera los registros de eventos de Windows a un área de trabajo de Log Analytics.

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Identificador de Azure Id. de CIS Responsabilidad
6.7 2.5 Customer

Use la supervisión de integridad de archivos (Change Tracking) y el inventario de máquinas virtuales de Azure Security Center para identificar todo el software instalado en Virtual Machines. Puede implementar su propio proceso para quitar software no autorizado. También puede usar una solución de terceros para identificar software no aprobado.

6.8: Uso exclusivo de aplicaciones aprobadas

Identificador de Azure Id. de CIS Responsabilidad
6,8 2.6 Customer

Use los controles de aplicación adaptables de Azure Security Center para asegurarse de que solo se ejecute software autorizado y de que todo el software no autorizado no se ejecute en Azure Virtual Machines.

6.9: Uso exclusivo de servicios de Azure aprobados

Identificador de Azure Id. de CIS Responsabilidad
6.9 2.6 Customer

Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

6.10: Mantenimiento de un inventario de títulos de software aprobados

Id. de Azure Id. de CIS Responsabilidad
6.10 2.7 Customer

Use los controles de aplicaciones adaptables de Azure Security Center para especificar en qué tipos de archivo puede aplicarse una regla o no.

Implemente una solución de terceros si no cumple el requisito.

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Id. de Azure Id. de CIS Responsabilidad
6.11 2.9 Customer

Use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Identificador de Azure Id. de CIS Responsabilidad
6.12 2.9 Customer

Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure. También puede usar los controles de aplicación adaptables de Azure Security Center para asegurarse de que solo se ejecute software autorizado y de que todo el software no autorizado no se ejecute en Azure Virtual Machines.

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Identificador de Azure Id. de CIS Responsabilidad
6.13 2.9 Customer

El software que se requiere para las operaciones empresariales, pero que puede suponer un riesgo mayor para la organización, debe aislarse en su propia máquina virtual o red virtual y estar lo suficientemente protegida con Azure Firewall o un grupo de seguridad de red.

Pasos siguientes