Control de seguridad v3: Seguridad de red
La seguridad de red cubre los controles para proteger y asegurar las redes de Azure, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y mitigación de ataques externos, y la protección de DNS.
NS-1: Establecimiento de límites de segmentación de red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: asegúrese de que la implementación de la red virtual se alinee con la estrategia de segmentación empresarial definida en el control de seguridad GS-2. Toda carga de trabajo que pueda incurrir en un mayor riesgo para la organización debe estar en redes virtuales aisladas. Entre los ejemplos de carga de trabajo de alto riesgo se incluyen:
- Una aplicación que almacena o procesa datos sumamente confidenciales.
- Una aplicación orientada a una red externa, a la que pueden acceder los usuarios públicos o ajenos a la organización.
- Una aplicación que usa una arquitectura no segura o que contiene vulnerabilidades que no se pueden corregir fácilmente.
Para mejorar la estrategia de segmentación empresarial, restrinja o supervise el tráfico entre los recursos internos mediante controles de red. Para aplicaciones específicas bien definidas (como una aplicación de tres niveles), puede tratarse de un enfoque altamente seguro de "denegar de manera predeterminada, permitir por excepción", mediante la restricción de los puertos, protocolos, direcciones IP de origen y destino del tráfico de red. Si tiene muchas aplicaciones y puntos de conexión que interactúan entre sí, es posible que el bloqueo del tráfico no se escale bien y solo pueda supervisar el tráfico.
Guía de Azure: cree una red virtual (VNet) como enfoque de segmentación fundamental en la red de Azure, de modo que los recursos, como las VM, se puedan implementar en la red virtual dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de la red virtual para subredes más pequeñas.
Use grupos de seguridad de red (NSG) como control de la capa de red para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino.
También puede usar grupos de seguridad de aplicaciones (ASG) para simplificar una configuración compleja. En lugar de definir directivas en función de las direcciones IP explícitas de los grupos de seguridad, los ASG le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.
Implementación y contexto adicional:
- Conceptos y procedimientos recomendados de Azure Virtual Network
- Incorporación, cambio o eliminación de una subred de red virtual
- Creación de un grupo de seguridad de red con reglas de seguridad
- Descripción y uso de los grupos de seguridad de aplicaciones
Partes interesadas de seguridad del cliente (más información):
NS-2: Servicios en la nube seguros con controles de red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: para proteger los servicios en la nube, establezca un punto de acceso privado para los recursos. También debe deshabilitar o restringir el acceso desde la red pública cuando sea posible.
Guía de Azure: implemente puntos de conexión privados para todos los recursos de Azure que admitan la característica Private Link, para establecer un punto de acceso privado para los recursos. También debe deshabilitar o restringir el acceso de red pública a los servicios cuando sea posible.
Para determinados servicios, también tiene la opción de implementar la integración de red virtual para el servicio, donde puede restringir la red virtual para establecer un punto de acceso privado para el servicio.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-3: Implementación de un firewall en el perímetro de la red empresarial
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: implemente un firewall para realizar un filtrado avanzado en el tráfico de red desde y hacia las redes externas. También puede usar firewalls entre segmentos internos como refuerzo de una estrategia de segmentación. Si es necesario, use rutas personalizadas en la subred para invalidar la ruta del sistema cuando tenga que forzar el tráfico de red para que pase por un dispositivo de red con fines de control de seguridad.
Como mínimo, bloquee las direcciones IP incorrectas conocidas y los protocolos de alto riesgo, como la administración remota (por ejemplo, RDP y SSH) y los protocolos de intranet (por ejemplo, SMB y Kerberos).
Guía de Azure: use Azure Firewall para proporcionar restricciones de tráfico a nivel de las aplicaciones con estado completo (como el filtrado de direcciones URL) o administración central en un gran número de segmentos o radios empresariales (en una topología en estrella tipo hub-and-spoke).
Si tiene una topología de red compleja, como una configuración en estrella tipo hub-and-spoke, puede que tenga que crear rutas definidas por el usuario (UDR) para asegurarse de que el tráfico pase por la ruta deseada. Por ejemplo, tiene la opción de usar una UDR para redirigir el tráfico de Internet de salida a través de un Azure Firewall o una aplicación virtual de red en particular.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-4: Implementación de sistemas de prevención y detección de intrusiones (IDS/IPS)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
Principio de seguridad: use los sistemas de detección y prevención de intrusiones (IDS/IPS) de red para inspeccionar el tráfico de red y de carga desde o hacia la carga de trabajo. Asegúrese de que IDS/IPS estén siempre optimizados para proporcionar alertas de alta calidad a la solución SIEM.
Para una funcionalidad más profunda de detección y prevención a nivel de host, use IDS/IPS basados en host o una solución de detección y respuesta de puntos de conexión (EDR) basada en host, junto con IDS/IPS de red.
Guía de Azure: use la funcionalidad IDPS de Azure Firewall en la red para alertar o bloquear el tráfico desde y hacia dominios y direcciones IP malintencionados conocidos.
Para una funcionalidad más precisa de detección y prevención a nivel de host, implemente IDS/IPS basados en host o una solución de detección y respuesta de puntos de conexión (EDR) basada en host, como Microsoft Defender para punto de conexión, a nivel de VM, junto con IDS/IPS de red.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-5: Implementación de DDOS Protection
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principio de seguridad: implemente la protección contra denegación de servicio distribuido (DDoS) para proteger la red y las aplicaciones frente a ataques.
Guía de Azure: habilite el plan de protección estándar de DDoS en la red virtual para proteger los recursos expuestos a las redes públicas.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-6: Implementación de un firewall de aplicaciones web
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: implemente un firewall de aplicaciones web (WAF) y configure las reglas adecuadas para proteger las aplicaciones web y API frente a ataques específicos de la aplicación.
Guía de Azure: use las funcionalidades del firewall de aplicaciones web (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger sus aplicaciones, servicios y API frente a ataques a nivel de aplicación en el perímetro de la red. Establezca el WAF en el modo "detección" o "prevención", en función de sus necesidades y del panorama de amenazas. Elija un conjunto de reglas integrado, como las principales 10 vulnerabilidades de OWASP, y ajústelo según su aplicación.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-7: Simplificación de la configuración de seguridad de la red
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principio de seguridad: al administrar un entorno de red complejo, use herramientas para simplificar, centralizar y mejorar la administración de la seguridad de red.
Guía de Azure: use las siguientes características para simplificar la implementación y administración de las reglas de NSG y Azure Firewall:
- Use la protección de red adaptable de Microsoft Defender for Cloud para recomendar reglas de protección de NSG que limiten aún más los puertos, protocolos y direcciones IP de origen en función de la inteligencia sobre amenazas y el resultado del análisis del tráfico.
- Use Azure Firewall Manager para centralizar la directiva de firewall y la administración de rutas de la red virtual. Para simplificar las reglas de firewall y la implementación de grupos de seguridad de red, también puede usar la plantilla de ARM (Azure Resource Manager) de Azure Firewall Manager.
Implementación y contexto adicional:
- Protección de red adaptable en Microsoft Defender for Cloud
- Azure Firewall Manager
- Creación de una instancia de Azure Firewall y una directiva de firewall: plantilla de ARM
Partes interesadas de seguridad del cliente (más información):
NS-8: Detección y deshabilitación de protocolos y servicios no seguros
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principio de seguridad: detecte y deshabilite los servicios y protocolos no seguros a nivel del sistema operativo, las aplicaciones o los paquetes de software. Implemente controles de compensación si no es posible deshabilitar los servicios y protocolos no seguros.
Guía de Azure: use el libro de protocolos no seguros integrado de Azure Sentinel para detectar el uso de servicios y protocolos no seguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin firmar y cifrados débiles en Kerberos. Deshabilite los servicios y protocolos no seguros que no cumplan el estándar de seguridad adecuado.
Nota: Si no es posible deshabilitar los servicios o protocolos no seguros, use controles de compensación, como bloquear el acceso a los recursos a través de grupos de seguridad de red, Azure Firewall o Azure Web Application Firewall, para reducir la superficie de ataque.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
NS-9: Conexión privada a una red local o en la nube
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/D |
Principio de seguridad: use conexiones privadas para una comunicación protegida entre diferentes redes, como centros de datos de proveedor de servicios en la nube y la infraestructura local en un entorno de coubicación.
Guía de Azure: use conexiones privadas para una comunicación protegida entre diferentes redes, como centros de datos de proveedor de servicios en la nube y la infraestructura local en un entorno de coubicación.
Para una conectividad ligera de sitio a sitio o de punto a sitio, use una red privada virtual (VPN) de Azure para crear una conexión segura entre el sitio local o el dispositivo del usuario final y la red virtual de Azure.
Para una conexión de alto rendimiento a nivel empresarial, use Azure ExpressRoute (o Virtual WAN) para conectar los centros de datos de Azure y la infraestructura local en un entorno de coubicación.
Al conectar entre sí dos redes virtuales en Azure o más, use el emparejamiento de red virtual. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Implementación y contexto adicional:
- Información general sobre la red privada virtual de Azure
- Qué son los modelos de conectividad de ExpressRoute
- Interconexión de red virtual
Partes interesadas de seguridad del cliente (más información):
NS-10: Confirmación de la seguridad del Sistema de nombres de dominio (DNS)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/D |
Principio de seguridad: asegúrese de que la configuración de seguridad del Sistema de nombres de dominio (DNS) proteja frente a los riesgos conocidos:
- Use servicios DNS autoritativos y recursivos de confianza en todo el entorno de nube para asegurarse de que el cliente (por ejemplo, sistemas operativos y aplicaciones) reciba el resultado de resolución correcto.
- Separe la resolución DNS pública y privada para que el proceso de resolución DNS de la red privada se pueda aislar de la red pública.
- Asegúrese de que la estrategia de seguridad de DNS también incluye mitigaciones contra ataques comunes, como DNS pendientes, ataques de amplificación de DNS, ataques de suplantación de identidad y envenenamiento de DNS, entre otros.
Guía de Azure: use DNS recursivo de Azure o un servidor DNS externo de confianza en la configuración de DNS recursivo de la carga de trabajo, como en el sistema operativo de la VM o en la aplicación.
Use Azure DNS Private para la configuración de zona DNS privada donde el proceso de resolución de DNS no salga de la red virtual. Use un DNS personalizado para restringir la resolución DNS, que solo permite la resolución de confianza al cliente.
Use Azure Defender para DNS para la protección avanzada frente a las siguientes amenazas de seguridad para la carga de trabajo o el servicio DNS:
- Filtrado de datos de los recursos de Azure mediante la tunelización de DNS.
- Malware que se comunica con los servidores de comandos y control.
- Comunicación con dominios malintencionados como suplantación de identidad (phishing) y minería de datos de cifrado
- Ataques de DNS en comunicaciones con solucionadores de DNS malintencionados.
También puede usar Azure Defender para App Service para detectar registros DNS pendientes si retira un sitio web de App Service sin quitar su dominio personalizado del registrador de DNS.
Implementación y contexto adicional:
- Introducción a Azure DNS
- Guía de implementación del Sistema de nombres de dominio seguro (DNS):
- DNS privado de Azure
- Azure Defender para DNS
- Evite las entradas DNS pendientes y evite la adquisición de subdominios:
Partes interesadas de seguridad del cliente (Obtenga más información):