Control de seguridad v3: posición y administración de vulnerabilidades

La administración de posiciones y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, incluido el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure.

PV-1: Definición y establecimiento de configuraciones seguras

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1,1

Principio de seguridad: Defina las líneas de base de configuración segura para los distintos tipos de recursos en la nube. Como alternativa, use las herramientas de administración de configuración para establecer la línea de base de configuración automáticamente antes o durante la implementación de recursos para que el entorno pueda ser compatible de forma predeterminada después de la implementación.

Guía de Azure: Use Azure Security Benchmark y la línea de base del servicio para definir la línea de base de configuración para cada oferta o servicio de Azure correspondiente. Consulte la arquitectura de referencia de Azure y la arquitectura de zona de aterrizaje de Cloud Adoption Framework para comprender los controles y configuraciones de seguridad críticos que pueden necesitar los recursos de Azure.

Use Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicaciones, incluidas las plantillas de Resource Manager, los controles de RBAC de Azure y las directivas, en una única definición de plano técnico.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-2: Auditoría y aplicación de configuraciones seguras

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Principio de seguridad: Supervise y alerte continuamente cuando haya una desviación de la línea de base de configuración definida. Aplique la configuración deseada según la configuración de línea de base denegando la configuración no compatible o implemente una configuración.

Guía de Azure: Use Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos.

Use Azure Policy las reglas [deny] y [deploy if not exist] para aplicar la configuración segura entre recursos de Azure.

Para la auditoría y el cumplimiento de la configuración de recursos no admitidos por Azure Policy, es posible que tenga que escribir sus propios scripts o usar herramientas de terceros para implementar la auditoría y el cumplimiento de la configuración.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2,2

Principio de seguridad: Defina las líneas de base de configuración segura para los recursos de proceso, como máquinas virtuales y contenedores. Use las herramientas de administración de configuración para establecer la línea de base de configuración automáticamente antes o durante la implementación de recursos de proceso para que el entorno pueda ser compatible de forma predeterminada después de la implementación. Como alternativa, use una imagen preconfigurada para crear la línea de base de configuración deseada en la plantilla de imagen de recursos de proceso.

Guía de Azure: Use la línea de base de sistema operativo recomendada de Azure (para Windows y Linux) como punto de referencia para definir la línea de base de configuración de recursos de proceso.

Además, puede usar una imagen de máquina virtual o imagen de contenedor personalizada con la configuración de invitado de Azure Policy y State Configuration de Azure Automation para establecer la configuración de seguridad deseada.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-4: Auditoría y aplicación de configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2,2

Principio de seguridad: Supervise y alerte continuamente cuando haya una desviación de la línea de base de configuración definida en sus recursos de proceso. Aplique la configuración deseada según la configuración de línea de base denegando la configuración no compatible o implemente una configuración en los recursos de proceso.

Guía de Azure: Use Microsoft Defender for Cloud y el agente de configuración de invitado de Azure Policy para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores, etc. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizado o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo. Las plantillas de máquina virtual de Microsoft combinadas con State Configuration de Azure Automation pueden ayudarle a cumplir y mantener los requisitos de seguridad.

Nota: Microsoft administra y mantiene las imágenes de máquina virtual de Azure Marketplace que publica Microsoft.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-5: Realización de evaluaciones de vulnerabilidades

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Principio de seguridad: Realice la evaluación de vulnerabilidades de los recursos en la nube en todos los niveles según una programación fija o a petición. Realice un seguimiento y compare los resultados del examen para comprobar que las vulnerabilidades se han corregido. La evaluación debe incluir todo tipo de vulnerabilidades, como vulnerabilidades en servicios de Azure, red, web, sistemas operativos, configuraciones incorrectas, etc.

Tenga en cuenta los posibles riesgos asociados con el acceso con privilegios que usan los escáneres de vulnerabilidades. Siga el procedimiento recomendado de seguridad de acceso con privilegios para proteger las cuentas administrativas usadas para el examen.

Guía de Azure: Siga las recomendaciones de Microsoft Defender for Cloud sobre cómo realizar evaluaciones de vulnerabilidades en sus máquinas virtuales de Azure, imágenes de contenedor y servidores SQL. Microsoft Defender for Cloud tiene un escáner de vulnerabilidades integrado para el examen de máquinas virtuales. Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones (por ejemplo, aplicaciones web).

Exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede ir al portal de la solución de examen seleccionada para ver los datos de análisis históricos.

Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Nota: Los servicios de Azure Defender (incluido Defender para servidores, el registro de contenedor, App Service, SQL y DNS) insertan ciertas funcionalidades de evaluación de vulnerabilidades. Las alertas generadas por servicios de Azure Defender deben supervisarse y revisarse junto con el resultado de la herramienta de examen de vulnerabilidades de Microsoft Defender for Cloud.

Nota: Asegúrese de configurar las notificaciones por correo electrónico en Microsoft Defender for Cloud.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-6: Reparación rápida y automática de vulnerabilidades

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORRECCIÓN DE ERRORES 6.1, 6.2, 6.5, 11.2

Principio de seguridad: Implemente revisiones y actualizaciones de forma rápida y automática para corregir vulnerabilidades en los recursos en la nube. Use el enfoque basado en riesgos adecuado para priorizar la corrección de las vulnerabilidades. Por ejemplo, las vulnerabilidades más graves en un recurso de mayor valor deben abordarse con una prioridad más alta.

Guía de Azure: Use Update Management de Azure Automation o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes se instalan en sus máquinas virtuales con Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.

Priorice qué actualizaciones implementar primero mediante un programa de puntuación de riesgo común (como Common Vulnerability Scoring System) o mediante las clasificaciones de riesgo predeterminadas proporcionadas por la herramienta de análisis de terceros y adaptadas a su entorno. También debe tener en cuenta qué aplicaciones presentan un alto riesgo de seguridad y cuáles requieren un alto tiempo de actividad.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):

PV-7: Realización de operaciones periódicas del equipo rojo

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Principio de seguridad: Simule ataques reales para proporcionar una visión más completa de la vulnerabilidad de su organización. Las operaciones de equipo rojo y las pruebas de penetración complementan el enfoque tradicional de examen de vulnerabilidades para detectar riesgos.

Siga los procedimientos recomendados del sector para diseñar, preparar y realizar este tipo de pruebas para asegurarse de que no provocarán daños ni interrupciones en su entorno. Esto siempre debe incluir la discusión sobre el ámbito de prueba y las restricciones con las partes interesadas y los propietarios de recursos pertinentes.

Guía de Azure: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (más información):