Corrección de los riesgos de seguridad en Azure Security Center
Los controles de seguridad deben seguir siendo eficaces contra los atacantes que mejoran continuamente sus formas de atacar los recursos digitales de una empresa. Use el principio de mejora continua para garantizar que los sistemas se evalúan y mejoran periódicamente.
Empiece por corregir los riesgos de seguridad comunes. Estos riesgos suelen ser de vectores de ataque bien establecidos. Esto obligará a los atacantes a adquirir métodos de ataque avanzados y más caros.
Puntos clave
- Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas.
- Corrija los riesgos comunes identificados por Azure Security Center.
- Realice un seguimiento del progreso de la corrección con la puntuación de seguridad y compárelo con los resultados históricos.
- Aborde las alertas y tome medidas con los pasos de corrección.
Seguimiento de la puntuación de seguridad
¿Revisa y corrige los riesgos comunes en el límite de la carga de trabajo?
Supervise la posición de seguridad de las VM, las redes, el almacenamiento, los servicios de datos y otros factores concurrentes. Puntuación de seguridad en Azure Security Center muestra una puntuación compuesta que representa la posición de seguridad en el nivel de suscripción.
¿Tiene un proceso para revisar formalmente la puntuación de seguridad en Azure Security Center?
A medida que revise los resultados y aplique las recomendaciones, realice un seguimiento del progreso y dé prioridad a las inversiones en curso. Una puntuación más alta indica una mejor posición de seguridad.
Establezca una cadencia regular (normalmente mensual) para revisar la puntuación de seguridad y planear iniciativas con objetivos de mejora específicos.
Asigne partes interesadas para supervisar y mejorar la puntuación. Ludifique la actividad si es posible para aumentar la participación y la atención de los equipos responsables.
Como propietario técnico de la carga de trabajo, trabaje con el equipo dedicado de su organización que supervisa la puntuación de seguridad. En el modelo de DevOps, los equipos de carga de trabajo pueden ser responsables de sus propios recursos. Normalmente, estos equipos son los responsables.
- Equipo de administración de la posición de seguridad
- Administración de vulnerabilidades o equipo de gobernanza, riesgo y cumplimiento
- Equipo de arquitectura
- Equipos técnicos específicos de recursos responsables de mejorar la puntuación de seguridad, como se muestra en esta tabla.
Category Recursos Equipo responsable Proceso y aplicaciones Servicios de aplicaciones Desarrollo de aplicaciones/equipos de seguridad Contenedores Desarrollo de aplicaciones u operaciones de infraestructura/TI Máquinas virtuales, conjuntos de escalado y proceso Operaciones de TI/infraestructura Datos y almacenamiento SQL/Redis/Data Lake Analytics/Data Lake Store Equipo de base de datos Cuentas de almacenamiento Equipo de almacenamiento/infraestructura Administración de identidades y acceso Suscripciones Equipos de identidad Key Vault Equipo de información/seguridad de los datos Recursos de redes Equipo de redes y equipo de seguridad de red Seguridad de IoT Recursos de IoT Equipo de operaciones de IoT
El ejemplo de Puntuación de seguridad de Azure muestra cómo obtener la Puntuación de seguridad de Azure de una suscripción llamando a la API REST de Azure Security Center. Los métodos de API proporcionan la flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las puntuaciones seguras a lo largo del tiempo.
Recomendaciones de revisión y corrección
Azure Security Center supervisa el estado de seguridad de máquinas, redes, almacenamiento y servicios de datos, y las aplicaciones para detectar posibles problemas de seguridad. Habilite esta funcionalidad sin ningún costo adicional para detectar máquinas virtuales vulnerables conectadas a Internet, actualizaciones de seguridad que faltan, la falta de protección o cifrado de puntos de conexión, las desviaciones de las configuraciones de seguridad de línea de base, la falta de Web Application Firewall (WAF), etc.
Consulte las recomendaciones para ver los posibles problemas de seguridad y aplicar las recomendaciones de Azure Security Center para ejecutar correcciones técnicas.
Las recomendaciones se agrupan por controles. Cada recomendación tiene información detallada, como la gravedad, los recursos afectados y las correcciones rápidas, cuando es necesaria. Comience por los elementos de gravedad alta.
Security Center tiene la capacidad de exportar resultados a intervalos configurados. Compare los resultados con conjuntos anteriores para comprobar que se han corregido los problemas.
Para más información, consulte el artículo sobre exportación continua.
Corrección de directivas
Un enfoque común para mantener la posición de seguridad es mediante Azure Policy.
Junto con las directivas de la organización, un propietario de carga de trabajo puede usar directivas con ámbito con fines de gobernanza, como comprobar si la configuración es incorrecta, prohibir determinados tipos de recursos, etc. Los recursos se evalúan con las reglas para identificar los recursos incorrectos que son de riesgo. Después de la evaluación, se requieren ciertas acciones como la corrección. Las acciones se pueden aplicar a través de efectos de Azure Policy.
Por ejemplo, una carga de trabajo se ejecuta en un clúster de Azure Kubernetes Service (AKS). Los objetivos empresariales requieren que la carga de trabajo se ejecute en un entorno muy restrictivo. Como propietario de la carga de trabajo, quiere que el grupo de recursos contenga clústeres de AKS privados. Puede aplicar ese requisito con el efecto Denegar. Impedirá que se cree un clúster si no se cumple esa regla.
Este tipo de aislamiento se puede mantener a través de directivas en un nivel superior, como el nivel de suscripción o incluso los grupos de administración.
Otro caso de uso es que se puede corregir automáticamente mediante la implementación de recursos relacionados. Por ejemplo, la organización quiere que todos los recursos de almacenamiento de una suscripción envíen registros a un área de trabajo común de Log Analytics. Si una cuenta de almacenamiento no pasa la directiva, se inicia una implementación automáticamente como corrección. Esa corrección se puede aplicar a través de DeployIfNotExist. Existen algunas consideraciones.
- Hay una espera significativa antes de que se actualice el recurso y se inicie la implementación. En el ejemplo anterior, no habrá registros capturados durante ese tiempo de espera. Evite usar este efecto para los recursos que no pueden tolerar un retraso.
- El recurso implementado debido a DeployIfNotExist se crea mediante una identidad independiente de la que realizó la implementación original. Esa identidad debe tener privilegios suficientes para realizar los cambios necesarios.
Administrar alertas
Azure Security Center muestra una lista de alertas basadas en registros recopilados de recursos dentro de un ámbito. Las alertas incluyen información de contexto, como la gravedad, el estado y el tiempo de actividad. La mayoría de las alertas tienen tácticas MITRE ATT&CK® que pueden ayudarle a comprender la intención de la cadena de eliminación. Seleccione la alerta e investigue el problema con la información detallada.
Por último, realice la acción necesaria. Esa acción puede ser corregir los recursos que no cumplen con los pasos de corrección accionables. También puede suprimir las alertas que sean falsos positivos.
Asegúrese de integrar alertas de seguridad críticas en Administración de eventos e información de seguridad (SIEM) y Respuesta automatizada de orquestación de seguridad (SOAR) sin introducir un gran volumen de datos de bajo valor. Azure Security Center puede transmitir alertas a Azure Sentinel. También puede usar una solución de terceros mediante la API Microsoft Graph Security.
Siguientes
Vínculos relacionados
Vuelva al artículo principal: Supervisión