Control de seguridad v3: Administración de recursos

La administración de recursos cubre controles para garantizar la visibilidad y el control de la seguridad de los recursos de Azure, incluidas recomendaciones sobre permisos para el personal de seguridad, acceso de seguridad al inventario de activos y administración de aprobaciones de servicios y recursos (inventario, seguimiento y corrección).

AM-1: Realización de un seguimiento del inventario de recursos y sus riesgos

Ids. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4 CM-8, PM-5 2.4

Principio de seguridad: Realice un seguimiento del inventario de recursos por consulta y detecte todos los recursos en la nube. Organice lógicamente los recursos mediante el etiquetado y la agrupación de los recursos en función de su naturaleza de servicio, ubicación u otras características. Asegúrese de que la organización de seguridad tiene acceso a un inventario de recursos actualizado continuamente.

Asegúrese de que la organización de seguridad puede supervisar los riesgos de los recursos en la nube teniendo siempre información de seguridad y riesgos agregados de forma centralizada.

Guía de Azure: La característica de inventario de Microsoft Defender for Cloud y Azure Resource Graph puede consultar y detectar todos los recursos de las suscripciones, incluidos los recursos de red, las aplicaciones y los servicios de Azure. Organice de forma lógica los recursos según la taxonomía de su organización mediante etiquetas y otros metadatos en Azure (nombre, descripción y categoría).

Asegúrese de que las organizaciones de seguridad tienen acceso a un inventario de recursos actualizado continuamente en Azure. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes y como una entrada para mejoras de seguridad continuas.

Asegúrese de que a las organizaciones de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud. Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

AM-2: Uso exclusivo de los servicios aprobados

Ids. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
2.5, 2.6 , 2.7, 4.8 CM-8, PM-5 6.3

Principio de seguridad: Asegúrese de que solo se pueden usar servicios en la nube aprobados, mediante la auditoría y restricción de los servicios que los usuarios pueden aprovisionar en el entorno.

Guía de Azure: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

AM-3: Confirmación de la seguridad de la administración del ciclo de vida de los recursos

Ids. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
1.1, 2.1 CM-8, CM-7 2.4

Principio de seguridad: Asegúrese de que los atributos de seguridad o las configuraciones de los recursos siempre se actualizan durante el ciclo de vida de los recursos.

Guía de Azure: Establezca o actualice las directivas o los procesos de seguridad que abordan los procesos de administración del ciclo de vida de los recursos para realizar modificaciones potencialmente de gran impacto. Estas modificaciones incluyen cambios en proveedores de identidades y acceso, confidencialidad de datos, configuración de red y asignación de privilegios administrativos.

Quite los recursos de Azure cuando ya no los necesite.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

AM-4: Limitación del acceso a la administración de recursos

Ids. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
3.3 AC-3 N/D

Principio de seguridad: Limite el acceso de los usuarios a las características de administración de recursos para evitar modificaciones accidentales o malintencionadas de los recursos en la nube.

Guía de Azure: Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos (activos) en Azure. Use el acceso condicional de Azure AD para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual

Ids. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8 CM-8, CM-7, CM-10, CM-11 6.3

Principio de seguridad: Asegúrese de que solo se ejecuta software autorizado mediante la creación de una lista de permitidos y bloquee la ejecución del software no autorizado en su entorno.

Guía de Azure: Use controles de aplicaciones adaptables de Microsoft Defender for Cloud para detectar y generar una lista de aplicaciones que se permiten. También puede usar los controles de aplicaciones adaptables de ASC para asegurarse de que solo se ejecute software autorizado y de que todo el software no autorizado no se ejecute en Azure Virtual Machines.

Use Change Tracking e Inventario de Azure Automation para automatizar la recopilación de información de inventario de las máquinas virtuales Windows y Linux. El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener la fecha de instalación de software y otro tipo de información, habilite los diagnósticos de nivel de invitado y dirija los registros de eventos de Windows al área de trabajo de Log Analytics.

Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure.

También puede usar una solución de terceros para descubrir e identificar software no aprobado.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):