Auditorías de seguridad

Para asegurarse de que la protección no se degrada con el tiempo, realice una auditoría con regularidad para comprobar el cumplimiento de las normas de la organización. Registros de auditoría que podrá habilitar, adquirir y almacenar para los servicios de Azure.

Puntos clave

Evaluación con pruebas comparativas estándar

¿Evalúa la posición de seguridad de esta carga de trabajo mediante pruebas comparativas estándar?

Use una prueba comparativa estándar del sector para evaluar la posición de seguridad actual de las organizaciones.

Las pruebas comparativas le permiten mejorar el programa de seguridad al aprender de las organizaciones externas. Le permite saber cómo es su estado de seguridad actual, en comparación con el de otras organizaciones, lo que proporciona tanto la validación externa de los elementos correctos del sistema actual como la identificación de brechas que sirven como oportunidad para enriquecer la estrategia de seguridad global del equipo. Aunque el programa de seguridad no esté vinculado a ningún estándar normativo ni punto de referencia concretos, podrá conocer los estados idóneos documentados por aquellos que se encuentran fuera y dentro del sector.

Por ejemplo, el Centro para la Seguridad de Internet (CIS) ha creado pruebas comparativas de seguridad para Azure que se asignan al marco de control de CIS. Otro ejemplo de referencia es el marco de MITRE ATT&CK™ que define las diversas tácticas y técnicas de los adversarios según las observaciones del mundo real. Estas referencias externas controlan las asignaciones y le ayudan a comprender las brechas entre su estrategia actual, lo que tiene y lo que tienen otros expertos del sector.

Acción sugerida

Desarrolle una estrategia de puntos de referencia de seguridad de Azure que se ajuste a los estándares del sector.

Con el cambio de personas en la organización y en el proyecto, es fundamental asegurarse de que solo las adecuadas tienen acceso a la infraestructura de la aplicación. La auditoría y revisión del control de acceso reducen el vector de ataque a la aplicación. El plano de control de Azure depende de Azure AD y las revisiones de acceso a menudo se realizan de forma centralizada como parte de actividades de auditoría internas o externas.

Asegúrese de que el equipo de seguridad audita el entorno para informar sobre el cumplimiento de la directiva de seguridad de la organización. Los equipos de seguridad también pueden exigir el cumplimiento de estas directivas.

Auditoría del cumplimiento normativo

El cumplimiento es importante por varias razones. Además de significar niveles de normas, como ISO 27001 y otras, el incumplimiento de las directrices normativas puede llevar a sanciones y penalizaciones. Revise periódicamente los roles que tienen privilegios elevados. Configure un patrón de revisión recurrente para asegurarse de que se retiran los permisos de las cuentas a medida que cambian los roles. Considere la posibilidad de realizar una auditoría al menos dos veces al año.

Acción sugerida

Use Azure Defender (Azure Security Center) para evaluar y supervisar continuamente la puntuación de cumplimiento.

Más información

Mejora del cumplimiento de reglamentaciones

¿Ha establecido una solución de supervisión y evaluación para el cumplimiento?

Evalúe y supervise continuamente el estado de cumplimiento de la carga de trabajo. Azure Security Center proporciona un panel de cumplimiento normativo que muestra el estado de seguridad actual de la carga de trabajo según los controles que ordenan los gobiernos estándar o las organizaciones del sector y Azure Security Benchmark. Mantenga los recursos de conformidad con esos estándares. Security Center realiza un seguimiento de muchos estándares. Puede establecer los estándares por grupos de administración de una suscripción.

Considere la posibilidad de usar las revisiones de acceso de Azure o la administración de derechos para revisar periódicamente el acceso a la carga de trabajo.

Considere la posibilidad de usar las revisiones de acceso de Azure o la administración de derechos para revisar periódicamente el acceso a la carga de trabajo.

Para Azure, con Azure Policy se crean y se administran directivas de aplicación del cumplimiento. Las directivas de Azure se basan en las funcionalidades de Azure Resource Manager. También se pueden asignar directivas de Azure mediante Azure Blueprints.

Para más información, consulte el Tutorial: Creación y administración de directivas para aplicar el cumplimiento.

Este es un grupo de administración de ejemplo que realiza un seguimiento del cumplimiento del estándar del sector de tarjetas de pago (PCI).

¿Tiene auditorías internas y externas para esta carga de trabajo?

Una carga de trabajo se debe auditar de forma interna, externa o ambas con el objetivo de detectar brechas de seguridad. Asegúrese de que las brechas se solucionan a través de actualizaciones.

La auditoría es importante para las cargas de trabajo que siguen un estándar. Además de representar niveles de normas, el incumplimiento de las directrices normativas puede llevar a sanciones y penalizaciones.

Realice la atestación del cumplimiento normativo. Las atestaciones las realiza una entidad independiente que examina si la carga de trabajo cumple una norma.

Revisión del acceso crítico

¿Se revisa periódicamente el acceso al plano de control y al plano de datos de la aplicación?

Revise periódicamente los roles que tienen privilegios elevados. Configure un patrón de revisión recurrente para asegurarse de que se retiran los permisos de las cuentas a medida que cambian los roles. Considere la posibilidad de realizar una auditoría al menos dos veces al año.

A medida que cambian las personas en la organización y en el proyecto, asegúrese de que solo las personas adecuadas tengan acceso a la infraestructura de la aplicación y los privilegios justos para completar la tarea. La auditoría y revisión del control de acceso reducen el vector de ataque a la aplicación.

El plano de control de Azure depende de Azure AD. Puede realizar la revisión manualmente o mediante un proceso automatizado mediante herramientas como las revisiones de acceso de Azure AD. Estas revisiones suelen llevarse a cabo de forma centralizada como parte de las actividades de auditoría internas o externas.

Comprobar cumplimiento de directivas

Asegúrese de que el equipo de seguridad audita el entorno para informar sobre el cumplimiento de la directiva de seguridad de la organización. Los equipos de seguridad también pueden exigir el cumplimiento de estas directivas.

Las directivas de seguridad corporativas internas, del sector y gubernamentales deben auditarse y aplicarse. Las directivas se supervisan para comprobar que las configuraciones iniciales son correctas y que siguen siendo conformes a lo largo del tiempo.

Para Azure, con Azure Policy se crean y se administran directivas de aplicación del cumplimiento. Las directivas de Azure se basan en las funcionalidades de Azure Resource Manager. También se pueden asignar directivas de Azure mediante Azure Blueprints. Para más información, consulte el Tutorial: Creación y administración de directivas para aplicar el cumplimiento.

Captura de datos críticos

Azure Governance Visualizer captura los datos de las funcionalidades de gobernanza en Azure más destacadas, como Azure Policy, el control de acceso basado en rol de Azure (RBAC de Azure) y Azure Blueprints. El visualizador es un script de PowerShell que recorre en iteración la jerarquía de grupos de administración del inquilino de Azure hasta el nivel de suscripción. A partir de los datos recopilados, el visualizador muestra el mapa de jerarquías, crea un resumen de inquilino y crea información detallada sobre los grupos de administración y suscripciones.

Pasos siguientes

Vínculos relacionados

• Puntuación segura en Azure Security Center permite ver todas las vulnerabilidades de seguridad en una sola puntuación.

• Tutorial: Mejora del cumplimiento normativo describe un proceso paso a paso para evaluar los requisitos normativos en Azure Security Center.