Puntuación de seguridad de Azure Security CenterSecure score in Azure Security Center

Introducción a Puntuación de seguridadIntroduction to secure score

Azure Security Center tiene dos objetivos principales:Azure Security Center has two main goals:

  • ayudarle a entender su situación de seguridad actualto help you understand your current security situation
  • ayudarle a mejorar la seguridad de forma eficazto help you efficiently and effectively improve your security

La característica principal de Security Center que le ayuda a conseguir estos objetivos es la puntuación de seguridad.The central feature in Security Center that enables you to achieve those goals is secure score.

Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de seguridad.Security Center continually assesses your resources, subscriptions, and organization for security issues. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.It then aggregates all the findings into a single score so that you can tell, at a glance, your current security situation: the higher the score, the lower the identified risk level.

La puntuación de seguridad se muestra en las páginas de Azure Portal como un valor de porcentaje, pero los valores subyacentes también se presentan claramente:The secure score is shown in the Azure portal pages as a percentage value, but the underlying values are also clearly presented:

Puntuación de seguridad general como se muestra en el portal

Para aumentar la seguridad, revise la página de recomendaciones de Security Center en busca de las acciones pendientes necesarias para aumentar la puntuación.To increase your security, review Security Center's recommendations page for the outstanding actions necessary to raise your score. Cada recomendación incluye instrucciones para ayudarle a corregir el problema específico.Each recommendation includes instructions to help you remediate the specific issue.

Las recomendaciones se agrupan en controles de seguridad.Recommendations are grouped into security controls. Cada control es un grupo lógico de recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables.Each control is a logical group of related security recommendations, and reflects your vulnerable attack surfaces. La puntuación solo mejora cuando corrige todas las recomendaciones para un solo recurso de un control.Your score only improves when you remediate all of the recommendations for a single resource within a control. Para ver cómo protege su organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada control de seguridad.To see how well your organization is securing each individual attack surface, review the scores for each security control.

Para más información, consulte Cálculo de la puntuación de seguridad a continuación.For more information, see How your secure score is calculated below.

Acceso a la puntuación de seguridadAccess your secure score

Encontrará la puntuación de seguridad general, así como la puntuación por suscripción, mediante Azure Portal o mediante programación, tal como se describe en las secciones siguientes:You can find your overall secure score, as well as your score per subscription, through the Azure portal or programatically as described in the following sections:

Obtención de la puntuación de seguridad desde el portalGet your secure score from the portal

Security Center muestra la puntuación de forma destacada en el portal: es el primer icono principal de la página de información general de Security Center.Security Center displays your score prominently in the portal: it's the first main tile the Security Center overview page. Al seleccionar este icono, irá a la página dedicada de puntuación de seguridad, donde verá la puntuación dividida por suscripciones.Selecting this tile, takes you to the dedicated secure score page, where you'll see the score broken down by subscription. Seleccione una suscripción única para ver la lista detallada de las recomendaciones prioritarias y del posible impacto que su corrección tendrá en la puntuación de la suscripción.Select a single subscription to see the detailed list of prioritized recommendations and the potential impact that remediating them will have on the subscription's score.

En resumen, la puntuación de seguridad se muestra en las siguientes ubicaciones en las páginas del portal de Security Center.To recap, your secure score is shown in the following locations in Security Center's portal pages.

  • En un icono en la página Información general (panel principal) de Security Center:In a tile on Security Center's Overview (main dashboard):

    Puntuación de seguridad en el panel de Security Center

  • En la página dedicada Puntuación de seguridad:In the dedicated Secure score page:

    Puntuación de seguridad en la página de puntuación de seguridad de Security Center

  • En la parte superior de la página Recomendaciones:At the top of the Recommendations page:

    Puntuación de seguridad en la página de recomendaciones de Security Center

Obtención de la puntuación de seguridad desde la API de RESTGet your secure score from the REST API

Ahora puede acceder a la puntuación a través de la API de puntuación de seguridad (actualmente en versión preliminar).You can access your score via the secure score API (currently in preview). Los métodos de API proporcionan la flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las puntuaciones seguras a lo largo del tiempo.The API methods provide the flexibility to query the data and build your own reporting mechanism of your secure scores over time. Por ejemplo, puede usar Secure Scores API para obtener la puntuación de una suscripción específica.For example, you can use the Secure Scores API to get the score for a specific subscription. Además, puede usar Secure Score Controls API para mostrar los controles de seguridad y la puntuación actual de las suscripciones.In addition, you can use the Secure Score Controls API to list the security controls and the current score of your subscriptions.

Recuperación de una sola puntuación de seguridad a través de la API

Para ver ejemplos de herramientas basadas en la API de puntuación de seguridad, consulte el área de puntuación de seguridad de la comunidad de GitHub.For examples of tools built on top of the secure score API, see the secure score area of our GitHub community.

Obtención de la puntuación de seguridad desde Azure Resource Graph (ARG)Get your secure score from Azure Resource Graph (ARG)

Azure Resource Graph proporciona acceso instantáneo a la información de los recursos en los entornos en la nube con funcionalidades sólidas para filtrar, agrupar y ordenar.Azure Resource Graph provides instant access to resource information across your cloud environments with robust filtering, grouping, and sorting capabilities. Es una forma rápida y eficaz de consultar información en las suscripciones de Azure mediante programación o desde Azure Portal.It's a quick and efficient way to query information across Azure subscriptions programmatically or from within the Azure portal. Más información sobre Azure Resource Graph.Learn more about Azure Resource Graph.

Para acceder a la puntuación de seguridad de varias suscripciones con ARG:To access the secure score for multiple subscriptions with ARG:

  1. Desde Azure Portal, abra el Explorador de Azure Resource Graph.From the Azure portal, open Azure Resource Graph Explorer.

    Inicio de la página de recomendaciones de Azure Resource Graph Explorer**

  2. Escriba la consulta de Kusto (utilice los ejemplos siguientes como guía).Enter your Kusto query (using the examples below for guidance).

    • Esta consulta devuelve el identificador de la suscripción, la puntuación actual en puntos y como porcentaje, y la puntuación máxima de la suscripción.This query returns the subscription ID, the current score in points and as a percentage, and the maximum score for the subscription.

      SecurityResources 
      | where type == 'microsoft.security/securescores' 
      | extend current = properties.score.current, max = todouble(properties.score.max)
      | project subscriptionId, current, max, percentage = ((current / max)*100)
      
    • Esta consulta devuelve el estado de todos los controles de seguridad.This query returns the status of all the security controls. Para cada control, obtendrá el número de recursos incorrectos, la puntuación actual y la puntuación máxima.For each control, you'll get the number of unhealthy resources, the current score, and the maximum score.

      SecurityResources 
      | where type == 'microsoft.security/securescores/securescorecontrols'
      | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max
      | project SecureControl , unhealthy, currentscore, maxscore
      
  3. Seleccione Ejecutar consulta.Select Run query.

Cálculo de la puntuación de seguridadHow your secure score is calculated

La contribución de cada control de seguridad en la puntuación de seguridad total aparece con claridad en la página de recomendaciones.The contribution of each security control towards the overall secure score is shown clearly on the recommendations page.

La puntuación de seguridad mejorada presenta controles de seguridadThe enhanced secure score introduces security controls

Para obtener todos los puntos posibles de un control de seguridad, todos sus recursos deben cumplir todas las recomendaciones de seguridad de dicho control.To get all the possible points for a security control, all your resources must comply with all of the security recommendations within the security control. Por ejemplo, Security Center tiene varias recomendaciones sobre cómo proteger los puertos de administración.For example, Security Center has multiple recommendations regarding how to secure your management ports. En el pasado, podía corregir algunas de esas recomendaciones relacionadas e interdependientes y dejar otras sin resolver, y con ello, la puntuación de seguridad mejoraba.In the past, you could remediate some of those related and interdependent recommendations while leaving others unsolved, and your secure score would improve. Analizado objetivamente, era fácil argumentar que la seguridad no mejoraría realmente hasta que se resolvieran todas.When looked at objectively, it's easy to argue that your security hadn't improved until you had resolved them all. Ahora, es necesario corregirlas todas para que la puntuación de seguridad mejore.Now, you must remediate them all to make a difference to your secure score.

Por ejemplo, el control de seguridad denominado "Aplicar actualizaciones del sistema" tiene una puntuación máxima de seis puntos, como puede ver en la información sobre herramientas sobre el potencial valor de mejora del control:For example, the security control called "Apply system updates" has a maximum score of six points, which you can see in the tooltip on the potential increase value of the control:

Control de seguridad "Aplicar actualizaciones del sistema"The security control "Apply system updates"

La puntuación máxima para este control, "Aplicar actualizaciones del sistema", es siempre 6.The maximum score for this control, Apply system updates, is always 6. En este ejemplo, hay 50 recursos.In this example, there are 50 resources. Por tanto, dividimos la puntuación máxima entre 50 y el resultado es que cada recurso aporta 0,12 puntos.So we divide the max score by 50, and the result is that every resource contributes 0.12 points.

  • Mejora potencial (0,12 x 8 recursos con estado incorrecto = 0,96): los puntos restantes disponibles para el usuario en el control.Potential increase (0.12 x 8 unhealthy resources = 0.96) - The remaining points available to you within the control. Esto significa que si corrige todas las recomendaciones de este control, la puntuación aumentará en un 2 % (en este caso, 0,96 puntos, que se redondean en 1 punto).If you remediate all the recommendations in this control, your score will increase by 2% (in this case, 0.96 points rounded up to 1 point).
  • Puntuación actual (0,12 x 42 recursos con estado correcto = 5,04): puntuación actual para este control.Current score (0.12 x 42 healthy resources = 5.04) - The current score for this control. Cada control contribuye a la puntuación total.Each control contributes towards the total score. En este ejemplo, el control contribuye con 5,04 puntos a la puntuación total de seguridad actual.In this example, the control is contributing 5.04 points to current secure total.
  • Puntuación máxima: el número máximo de puntos que puede obtener al completar todas las recomendaciones de un control.Max score - The maximum number of points you can gain by completing all recommendations within a control. La puntuación máxima de un control indica la importancia relativa de ese control.The maximum score for a control indicates the relative significance of that control. Use los valores de puntuación máxima para evaluar la prioridad de los problemas.Use the max score values to triage the issues to work on first.

Cálculos: Descripción de la puntuaciónCalculations - understanding your score

MétricaMetric Fórmula y ejemploFormula and example
Puntuación actual del control de seguridadSecurity control's current score
Ecuación para calcular la puntuación actual de un control de seguridadEquation for calculating a security control's current score

Cada control de seguridad individual contribuye a la puntuación de seguridad.Each individual security control contributes towards the Security Score. Cada recurso afectado por una recomendación dentro del control contribuye a la puntuación actual de este.Each resource affected by a recommendation within the control, contributes towards the control's current score. La puntuación actual de cada control es una medida del estado de los recursos que están dentro del control.The current score for each control is a measure of the status of the resources within the control.
Información sobre herramientas que muestra los valores usados al calcular la puntuación actual del control de seguridadTooltips showing the values used when calculating the security control's current score
En este ejemplo, la puntuación máxima de 6 se divide entre 78, ya que esta es la suma de los recursos correctos e incorrectos.In this example, the max score of 6 would be divided by 78 because that's the sum of the healthy and unhealthy resources.
6 / 78 = 0,07696 / 78 = 0.0769
La multiplicación de esa cifra por el número de recursos correctos (4) da como resultado la puntuación actual:Multiplying that by the number of healthy resources (4) results in the current score:
0.0769 * 4 = 0.310.0769 * 4 = 0.31

Puntuación seguraSecure score
Suscripción únicaSingle subscription

Ecuación para calcular la puntuación de seguridad actual

Puntuación de seguridad de una suscripción única con todos los controles habilitados
En este ejemplo, hay una suscripción única con todos los controles de seguridad disponibles (una puntuación máxima posible de 60 puntos).In this example, there is a single subscription with all security controls available (a potential maximum score of 60 points). La puntuación muestra 28 puntos de los 60 posibles y los 32 puntos restantes se reflejan en las cifras de "Posible aumento de puntuación" de los controles de seguridad.The score shows 28 points out of a possible 60 and the remaining 32 points are reflected in the "Potential score increase" figures of the security controls.
Lista de controles y posible aumento de puntuación
Puntuación seguraSecure score
Varias suscripcionesMultiple subscriptions

La puntuación actual de todos los recursos de todas las suscripciones se suma y el cálculo es el mismo que para una suscripción única.The current scores for all resources across all subscriptions are added and the calculation is then the same as for a single subscription

Cuando se ven varias suscripciones, la puntuación de seguridad evalúa todos los recursos de todas las directivas habilitadas y agrupa su impacto combinado en la puntuación máxima de cada control de seguridad.When viewing multiple subscriptions, secure score evaluates all resources within all enabled policies and groups their combined impact on each security control's maximum score.
Puntuación de seguridad de varias suscripciones con todos los controles habilitadosSecure score for multiple subscriptions with all controls enabled
La puntuación combinada no es un promedio; en vez de eso, es la posición evaluada del estado de todos los recursos de todas las suscripciones.The combined score is not an average; rather it's the evaluated posture of the status of all resources across all subscriptions.
También en este caso, si va a la página de recomendaciones y suma los puntos posibles disponibles, observará que esta es la diferencia entre la puntuación actual (24) y la puntuación máxima disponible (60).Here too, if you go to the recommendations page and add up the potential points available, you will find that it's the difference between the current score (24) and the maximum score available (60).

¿Qué recomendaciones se incluyen en los cálculos de la puntuación de seguridad?Which recommendations are included in the secure score calculations?

Solo las recomendaciones integradas afectan a la puntuación de seguridad.Only built-in recommendations have an impact on the secure score.

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de seguridad.Recommendations flagged as Preview aren't included in the calculations of your secure score. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación.They should still be remediated wherever possible, so that when the preview period ends they'll contribute towards your score.

Un ejemplo de una recomendación en versión preliminar:An example of a preview recommendation:

Recomendación con la marca de versión preliminar

Mejora de su puntuación de seguridadImprove your secure score

Para mejorar la puntuación de seguridad, corrija las recomendaciones de seguridad de la lista de recomendaciones.To improve your secure score, remediate security recommendations from your recommendations list. Puede corregir cada recomendación manualmente para cada recurso o utilizar la opción Corrección rápidaYou can remediate each recommendation manually for each resource, or by using the Quick Fix! (si está disponible) para aplicar rápidamente una corrección de una recomendación a un grupo de recursos.option (when available) to apply a remediation for a recommendation to a group of resources quickly. Para más información, consulte Corrección de recomendaciones.For more information, see Remediate recommendations.

Otra forma de mejorar la puntuación y de asegurarse de que los usuarios no creen recursos que afecten negativamente a la puntuación es configurar las opciones de aplicar y denegar en las recomendaciones pertinentes.Another way to improve your score and ensure your users don't create resources that negatively impact your score is to configure the Enforce and Deny options on the relevant recommendations. Más información en Evitar errores de configuración con Aplicar/Denegar.Learn more in Prevent misconfigurations with Enforce/Deny recommendations.

Controles de seguridad y sus recomendacionesSecurity controls and their recommendations

En la tabla siguiente se enumeran los controles de seguridad de Azure Security Center.The table below lists the security controls in Azure Security Center. Para cada control, puede ver el número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control, para todos los recursos.For each control, you can see the maximum number of points you can add to your secure score if you remediate all of the recommendations listed in the control, for all of your resources.

El conjunto de recomendaciones de seguridad proporcionadas con Security Center se adapta a los recursos disponibles en el entorno de cada organización.The set of security recommendations provided with Security Center is tailored to the available resources in each organization’s environment. Las recomendaciones se pueden personalizar aún más deshabilitando directivas y excluyendo recursos específicos de una recomendación.The recommendations can be further customized by disabling policies and exempting specific resources from a recommendation.

Se recomienda que cada organización revise cuidadosamente sus iniciativas de Azure Policy asignadas.We recommend every organization carefully review their assigned Azure Policy initiatives.

Sugerencia

Para obtener información detallada sobre cómo revisar y editar iniciativas, vea Trabajo con directivas de seguridad.For details of reviewing and editing your initiatives, see Working with security policies.

Aunque la iniciativa de seguridad predeterminada de Security Center se basa en los estándares y procedimientos recomendados del sector, hay escenarios en los que es posible que las recomendaciones integradas que se indican a continuación no se ajusten completamente a su organización.Even though Security Center’s default security initiative is based on industry best practices and standards, there are scenarios in which the built-in recommendations listed below might not completely fit your organization. Por lo tanto, a veces será necesario ajustar la iniciativa predeterminada, sin comprometer la seguridad, para asegurarse de que está alineada con las directivas propias de su organización,Consequently, it’ll sometimes be necessary to adjust the default initiative - without compromising security - to ensure it’s aligned with your organization’s own policies. así como con estándares del sector, estándares normativos y pruebas comparativas que tiene la obligación de cumplir.industry standards, regulatory standards, and benchmarks you’re obligated to meet.

Control de seguridad, puntuación y descripciónSecurity control, score, and description
RecomendacionesRecommendations

Habilitar MFA (puntuación máxima: 10)

Enable MFA (max score 10)

Si para autenticar a un usuario solo usa una contraseña, deja un vector desprotegido frente a los ataques.
If you only use a password to authenticate a user, it leaves an attack vector open. Si la contraseña es débil o se ha expuesto en otro lugar, ¿cómo saber si es el usuario quien inicia sesión realmente con el nombre de usuario y la contraseña?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password?
Con MFA habilitada, las cuentas son más seguras y los usuarios aún podrán autenticarse en casi cualquier aplicación con inicio de sesión único (SSO).With MFA enabled, your accounts are more secure, and users can still authenticate to almost any application with single sign-on (SSO).
- MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción.- MFA should be enabled on accounts with owner permissions on your subscription
- MFA debe estar habilitada en las cuentas con permisos de escritura de la suscripción.- MFA should be enabled accounts with write permissions on your subscription

Proteger puertos de administración (puntuación máxima: 8)

Secure management ports (max score 8)

Los ataques por fuerza bruta tienen como destino los puertos de administración para obtener acceso a una máquina virtual.
Brute force attacks target management ports to gain access to a VM. Dado que no siempre es necesario abrir los puertos, una estrategia de mitigación consiste en reducir la exposición a los puertos mediante controles de acceso a la red Just-in-Time, grupos de seguridad de red y administración de puertos de máquina virtual.Since the ports don’t always need to be open, one mitigation strategy is to reduce exposure to the ports using just-in-time network access controls, network security groups, and virtual machine port management.
Dado que muchas organizaciones de TI no bloquean las comunicaciones SSH salientes de su red, los atacantes pueden crear túneles cifrados que permitan a los puertos RDP de los sistemas infectados comunicarse con el comando del atacante para controlar los servidores.Since many IT organizations don't block SSH communications outbound from their network, attackers can create encrypted tunnels that allow RDP ports on infected systems to communicate back to the attacker command to control servers. Los atacantes pueden usar el subsistema de Administración remota de Windows para moverse lateralmente por el entorno y usar credenciales robadas para acceder a otros recursos de una red.Attackers can use the Windows Remote Management subsystem to move laterally across your environment and use stolen credentials to access other resources on a network.
- Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.- Management ports of virtual machines should be protected with just-in-time network access control
- Las máquinas virtuales deben estar asociadas a un grupo de seguridad de red.- Virtual machines should be associated with a Network Security Group
- Se deben cerrar los puertos de administración en las máquinas virtuales.- Management ports should be closed on your virtual machines

Aplicar actualizaciones del sistema (puntuación máxima: 6)

Apply system updates (max score 6)

Las actualizaciones del sistema proporcionan a las organizaciones la capacidad de mantener la eficacia operativa, reducir las vulnerabilidades de seguridad y proporcionar un entorno más estable para los usuarios finales.
System updates provide organizations with the ability to maintain operational efficiency, reduce security vulnerabilities, and provide a more stable environment for end users. No aplicar actualizaciones deja vulnerabilidades sin revisiones y da lugar a entornos susceptibles a ataques.Not applying updates leaves unpatched vulnerabilities and results in environments that are susceptible to attacks. Estas vulnerabilidades se pueden aprovechar y provocar problemas como la pérdida de datos, la filtración de datos, el ransomware y el uso abusivo de recursos.These vulnerabilities can be exploited and lead to data loss, data exfiltration, ransomware, and resource abuse. Para implementar actualizaciones del sistema, puede usar la solución Update Management para administrar las actualizaciones y las revisiones de las máquinas virtuales.To deploy system updates, you can use the Update Management solution to manage patches and updates for your virtual machines. La administración de actualizaciones es el proceso mediante el que se controla la implementación y el mantenimiento de las versiones de software.Update management is the process of controlling the deployment and maintenance of software releases.
- Los problemas de estado del agente de supervisión se deben resolver en las máquinas.- Monitoring agent health issues should be resolved on your machines
- El agente de supervisión debe instalarse en conjuntos de escalado de máquinas virtuales.- Monitoring agent should be installed on virtual machine scale sets
- El agente de supervisión debe instalarse en las máquinas.- Monitoring agent should be installed on your machines
- La versión del sistema operativo debe actualizarse para los roles de servicio en la nube.- OS version should be updated for your cloud service roles
- Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales.- System updates on virtual machine scale sets should be installed
- Se deben instalar las actualizaciones del sistema en las máquinas.- System updates should be installed on your machines
- Las máquinas deben reiniciarse para aplicar las actualizaciones del sistema.- Your machines should be restarted to apply system updates
- Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable.- Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version
- Un agente de supervisión debe estar instalado en las máquinas virtuales.- Monitoring agent should be installed on your virtual machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Windows (versión preliminar).- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux (versión preliminar).- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)

Corregir vulnerabilidades (puntuación máxima: 6)

Remediate vulnerabilities (max score 6)

Una vulnerabilidad es un punto débil que un actor de amenazas podría aprovechar para poner en peligro la confidencialidad, la disponibilidad o la integridad de un recurso.
A vulnerability is a weakness that a threat actor could leverage, to compromise the confidentiality, availability, or integrity of a resource. La administración de vulnerabilidades reduce la exposición de la organización, protege el área expuesta del punto de conexión, aumenta la resistencia de la organización y reduce la superficie de ataque de los recursos.Managing vulnerabilities reduces organizational exposure, hardens endpoint surface area, increases organizational resilience, and reduces the attack surface of your resources. La administración de amenazas y vulnerabilidades permite detectar errores de configuración de software y seguridad y proporciona recomendaciones para mitigarlos.Threat and Vulnerability Management provides visibility into software and security misconfigurations and provide recommendations for mitigations.
- Se debe habilitar Seguridad avanzada de datos en SQL Database.- Advanced data security should be enabled on SQL Database
- Las vulnerabilidades de las imágenes de Azure Container Registry deben corregirse.- Vulnerabilities in Azure Container Registry images should be remediated
- Se deben corregir las vulnerabilidades de las bases de datos SQL.- Vulnerabilities on your SQL databases should be remediated
- Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidades.- Vulnerabilities should be remediated by a Vulnerability Assessment solution
- Se debe habilitar la valoración de vulnerabilidades en Instancia administrada de SQL.- Vulnerability assessment should be enabled on SQL Managed Instance
- La evaluación de vulnerabilidades debe estar habilitada en sus servidores de SQL Server.- Vulnerability assessment should be enabled on your SQL servers
- La solución de evaluación de vulnerabilidades debe instalarse en sus máquinas virtuales.- Vulnerability assessment solution should be installed on your virtual machines
- Las imágenes de contenedor solo deben implementarse desde registros de confianza (versión preliminar)- Container images should be deployed from trusted registries only (preview)
- El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres (versión preliminar)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

Habilitar cifrado de datos en reposo (puntuación máxima: 4)

Enable encryption at rest (max score 4)

El cifrado en reposo proporciona protección de datos para los datos almacenados.
Encryption at rest provides data protection for stored data. Los ataques contra los datos en reposo incluyen intentos de obtener acceso físico al hardware en el que se almacenan los datos.Attacks against data at rest include attempts to gain physical access to the hardware on which the data is stored. Azure usa el cifrado simétrico para cifrar y descifrar grandes cantidades de datos en reposo.Azures use symmetric encryption to encrypt and decrypt large amounts of data at rest. Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el almacenamiento.A symmetric encryption key is used to encrypt data as it is written to storage. Esa clave de cifrado también se utiliza para descifrar los datos tal y como se prepararon para su uso en la memoria.That encryption key is also used to decrypt that data as it is readied for use in memory. Las claves deben almacenarse en una ubicación segura con el control de acceso basado en identidades y directivas de auditoría.Keys must be stored in a secure location with identity-based access control and audit policies. Una ubicación segura es Azure Key Vault.One such secure location is Azure Key Vault. Si un atacante obtiene los datos cifrados pero no las claves de cifrado, no podrá acceder a los datos sin romper el cifrado.If an attacker obtains the encrypted data but not the encryption keys, the attacker can't access the data without breaking the encryption.
- El cifrado de discos debe aplicarse en las máquinas virtuales.- Disk encryption should be applied on virtual machines
- El cifrado de datos transparente en SQL Database debe estar habilitado.- Transparent Data Encryption on SQL Database should be enabled
- Las variables de cuenta de Automation deben cifrarse.- Automation account variables should be encrypted
- Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric.- Service Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
- El protector de TDE de SQL Server se debe cifrar con su propia clave.- SQL server TDE protector should be encrypted with your own key

Cifrado de los datos en tránsito (puntuación máxima: 4)

Encrypt data in transit (max score 4)

Cuando se transfieren datos entre componentes, ubicaciones o programas, están "en tránsito".
Data is “in transit” when it's transmitted between components, locations, or programs. Las organizaciones que no protegen los datos en tránsito son susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión.Organizations that fail to protect data in transit are susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Para intercambiar datos, se deben usar protocolos SSL/TLS y se recomienda utilizar una VPN.SSL/TLS protocols should be used to exchange data and a VPN is recommended. Al enviar datos cifrados entre una máquina virtual de Azure y una ubicación local a través de Internet, puede usar una puerta de enlace de red virtual como Azure VPN Gateway para enviar tráfico cifrado.When sending encrypted data between an Azure virtual machine and an on-premise location, over the internet, you can use a virtual network gateway such as Azure VPN Gateway to send encrypted traffic.
- Se debe acceder a la aplicación de API App solo a través de HTTPS.- API App should only be accessible over HTTPS
- Acceso a Function App solo a través de HTTPS.- Function App should only be accessible over HTTPS
- Solo se deben habilitar las conexiones seguras a Redis Cache.- Only secure connections to your Redis Cache should be enabled
- Se debe habilitar la transferencia segura a las cuentas de almacenamiento.- Secure transfer to storage accounts should be enabled
- Acceso a la aplicación web solo a través de HTTPS.- Web Application should only be accessible over HTTPS
- El punto de conexión privado debe estar habilitado para servidores PostgreSQL- Private endpoint should be enabled for PostgreSQL servers
- La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL- Enforce SSL connection should be enabled for PostgreSQL database servers
- La aplicación de una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL- Enforce SSL connection should be enabled for MySQL database servers
- TLS debe actualizarse a la versión más reciente en la aplicación de API- TLS should be updated to the latest version for your API app
- TLS debe actualizarse a la versión más reciente en la aplicación de funciones- TLS should be updated to the latest version for your function app
- TLS debe actualizarse a la versión más reciente en la aplicación web- TLS should be updated to the latest version for your web app
- Es necesario exigir FTPS en la aplicación de API- FTPS should be required in your API App
- Es necesario exigir FTPS en la aplicación de funciones- FTPS should be required in your function App
- Es necesario exigir FTPS en la aplicación web- FTPS should be required in your web App

Administrar el acceso y los permisos (puntuación máxima: 4)

Manage access and permissions (max score 4)

Una parte fundamental de un programa de seguridad es asegurarse de que los usuarios tengan el acceso necesario para realizar sus trabajos, pero no más: el modelo de acceso con privilegios mínimos.
A core part of a security program is ensuring your users have the necessary access to do their jobs but no more than that: the least privilege access model.
Controle el acceso a los recursos mediante la creación de asignaciones de roles con control de acceso basado en rol (RBAC).Control access to your resources by creating role assignments with role-based access control (RBAC). Una asignación de roles consta de tres elementos:A role assignment consists of three elements:
- Entidad de seguridad: el objeto al que el usuario solicita acceso.- Security principal: the object the user is requesting access to
- Definición de roles: los permisos.- Role definition: their permissions
- Ámbito: conjunto de recursos a los que se aplican los permisos.- Scope: the set of resources to which the permissions apply
- Las cuentas en desuso se deben eliminar de la suscripción (versión preliminar).- Deprecated accounts should be removed from your subscription (Preview)
- Las cuentas en desuso con permisos de propietario se deben eliminar de la suscripción (versión preliminar).- Deprecated accounts with owner permissions should be removed from your subscription (Preview)
- Las cuentas externas con permisos de propietario se deben eliminar de la suscripción (versión preliminar).- External accounts with owner permissions should be removed from your subscription (Preview)
- Las cuentas externas con permisos de escritura se deben eliminar de la suscripción (versión preliminar).- External accounts with write permissions should be removed from your subscription (Preview)
- Debe haber más de un propietario asignado a la suscripción.- There should be more than one owner assigned to your subscription
- Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes (versión preliminar).- Role-Based Access Control (RBAC) should be used on Kubernetes Services (Preview)
- Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente.- Service Fabric clusters should only use Azure Active Directory for client authentication
- Para proteger las suscripciones, deben usarse entidades de servicio en lugar de certificados de administración.- Service principals should be used to protect your subscriptions instead of Management Certificates
- Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores (versión preliminar)- Least privileged Linux capabilities should be enforced for containers (preview)
- El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores (versión preliminar)- Immutable (read-only) root filesystem should be enforced for containers (preview)
- Debe evitar los contenedores con elevación de privilegios (versión preliminar)- Container with privilege escalation should be avoided (preview)
- Debe evitar la ejecución de contenedores como usuario raíz (versión preliminar)- Running containers as root user should be avoided (preview)
- Deben evitarse los contenedores que comparten espacios de nombres de host confidenciales (versión preliminar)- Containers sharing sensitive host namespaces should be avoided (preview)
- El uso de montajes de volúmenes HostPath de pod debe estar restringido a una lista conocida (versión preliminar)- Usage of pod HostPath volume mounts should be restricted to a known list (preview)
- Deben evitarse los contenedores con privilegios (versión preliminar)- Privileged containers should be avoided (preview)
- El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres (versión preliminar)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes- Web apps should request an SSL certificate for all incoming requests
- Se debe usar una identidad administrada en la aplicación de API- Managed identity should be used in your API App
- Se debe usar una identidad administrada en la aplicación de funciones- Managed identity should be used in your function App
- Se debe usar una identidad administrada en la aplicación web- Managed identity should be used in your web App

Corregir configuraciones de seguridad (puntuación máxima: 4)

Remediate security configurations (max score 4)

Los recursos de TI incorrectamente configurados presentan un riesgo mayor de sufrir ataques.
Misconfigured IT assets have a higher risk of being attacked. Al implementar recursos e intentar ajustarse a unos plazos determinados, suelen pasarse por alto acciones de protección básicas.Basic hardening actions are often forgotten when assets are being deployed and deadlines must be met. Puede haber configuraciones de seguridad incorrectas a cualquier nivel de la infraestructura: desde los sistemas operativos y los dispositivos de red hasta los recursos en la nube.Security misconfigurations can be at any level in the infrastructure: from the operating systems and network appliances, to cloud resources.
Azure Security Center compara continuamente la configuración de los recursos con los requisitos de los estándares del sector, las regulaciones y los bancos de pruebas.Azure Security Center continually compares the configuration of your resources with requirements in industry standards, regulations, and benchmarks. Una vez que haya configurado los "paquetes de cumplimiento" (estándares y de referencia) pertinentes para su organización, las carencias darán lugar a recomendaciones de seguridad que incluyen el CCEID y una explicación del posible impacto en la seguridad.When you've configured the relevant "compliance packages" (standards and baselines) that matter to your organization, any gaps will result in security recommendations that include the CCEID and an explanation of the potential security impact.
Azure Security Benchmark y CIS Microsoft Azure Foundations Benchmark versión 1.1.0 son dos paquetes que se usan con frecuencia.Commonly used packages are Azure Security Benchmark and CIS Microsoft Azure Foundations Benchmark version 1.1.0
- Se deben corregir las vulnerabilidades en las configuraciones de seguridad de contenedor.- Vulnerabilities in container security configurations should be remediated
- Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas.- Vulnerabilities in security configuration on your machines should be remediated
- Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales.- Vulnerabilities in security configuration on your virtual machine scale sets should be remediated
- Un agente de supervisión debe estar instalado en las máquinas virtuales.- Monitoring agent should be installed on your virtual machines
- El agente de supervisión debe instalarse en las máquinas.- Monitoring agent should be installed on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Windows (versión preliminar).- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux (versión preliminar).- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- El agente de supervisión debe instalarse en conjuntos de escalado de máquinas virtuales.- Monitoring agent should be installed on virtual machine scale sets
- Los problemas de estado del agente de supervisión se deben resolver en las máquinas.- Monitoring agent health issues should be resolved on your machines
- La opción de reemplazar o deshabilitar el perfil de AppArmor de los contenedores debe estar restringida (versión preliminar)- Overriding or disabling of containers AppArmor profile should be restricted (preview)
- El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres (versión preliminar)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

Restringir los accesos de red no autorizados (puntuación máxima: 4)

Restrict unauthorized network access (max score 4)

Los puntos de conexión de una organización proporcionan una conexión directa desde la red virtual a los servicios de Azure compatibles.
Endpoints within an organization provide a direct connection from your virtual network to supported Azure services. Las máquinas virtuales de una subred pueden comunicarse con todos los recursos.Virtual machines in a subnet can communicate with all resources. Para limitar la comunicación hacia y desde todos los recursos de una subred, cree un grupo de seguridad de red y asócielo a la subred.To limit communication to and from resources within a subnet, create a network security group and associate it to the subnet. Las organizaciones pueden limitar el tráfico no autorizado y protegerse mediante la creación de reglas de entrada y salida.Organizations can limit and protect against unauthorized traffic by creating inbound and outbound rules.
- El reenvío de IP en la máquina virtual debe estar deshabilitado.- IP forwarding on your virtual machine should be disabled
- Deben definirse los intervalos IP autorizados en los servicios de Kubernetes (versión preliminar).- Authorized IP ranges should be defined on Kubernetes Services (Preview)
- (EN DESUSO) El acceso a App Services debe estar restringido (versión preliminar).- (DEPRECATED) Access to App Services should be restricted (Preview)
- (EN DESUSO) Se deben proteger las reglas de las aplicaciones web en los grupos de seguridad de red de IaaS.- (DEPRECATED) The rules for web applications on IaaS NSGs should be hardened
- Las máquinas virtuales deben estar asociadas a un grupo de seguridad de red.- Virtual machines should be associated with a Network Security Group
- CORS no debe permitir que todos los recursos accedan a la aplicación de API.- CORS should not allow every resource to access your API App
- CORS no debe permitir que todos los recursos accedan a Function App.- CORS should not allow every resource to access your Function App
- CORS no debe permitir que todos los recursos accedan a las aplicaciones web.- CORS should not allow every resource to access your Web Application
- Se debe desactivar la depuración remota para la aplicación de API.- Remote debugging should be turned off for API App
- Se debe desactivar la depuración remota para Function App.- Remote debugging should be turned off for Function App
- Se debe desactivar la depuración remota para las aplicaciones web.- Remote debugging should be turned off for Web Application
- Se debe restringir el acceso a los grupos de seguridad de red permisivos con máquinas virtuales accesibles desde Internet.- Access should be restricted for permissive Network Security Groups with Internet-facing VMs
- Se deben proteger las reglas del grupo de seguridad de red para máquinas virtuales accesibles desde Internet.- Network Security Group Rules for Internet facing virtual machines should be hardened
- El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres (versión preliminar)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- Los contenedores solo deben escuchar en los puertos permitidos (versión preliminar)- Containers should listen on allowed ports only (preview)
- Los servicios solo deben escuchar en los puertos permitidos (versión preliminar)- Services should listen on allowed ports only (preview)
- El uso de puertos y redes de hosts debe estar restringido (versión preliminar)- Usage of host networking and ports should be restricted (preview)
- Las redes virtuales deben protegerse mediante Azure Firewall (versión preliminar)- Virtual networks should be protected by Azure Firewall (preview)
- El punto de conexión privado debe estar habilitado para servidores MariaDB- Private endpoint should be enabled for MariaDB servers
- El punto de conexión privado debe estar habilitado para servidores MySQL- Private endpoint should be enabled for MySQL servers
- El punto de conexión privado debe estar habilitado para servidores PostgreSQL- Private endpoint should be enabled for PostgreSQL servers

Aplicar controles de aplicaciones adaptables (puntuación máxima: 3)

Apply adaptive application control (max score 3)

El control de aplicaciones adaptables (AAC) es una solución de un extremo a otro inteligente y automatizada que permite controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales de Azure y que no son de Azure.
Adaptive application control (AAC) is an intelligent, automated, end-to-end solution, which allows you to control which applications can run on your Azure and non-Azure machines. También ayuda a proteger los equipos frente a malware.It also helps to harden your machines against malware.
Security Center usa el aprendizaje automático para crear una lista de aplicaciones seguras conocidas para un grupo de máquinas.Security Center uses machine learning to create a list of known-safe applications for a group of machines.
Este enfoque innovador de inclusión de aplicaciones en listas ofrece ventajas de seguridad sin la complejidad de la administración.This innovative approach to approved application listing provides the security benefits without the management complexity.
El control de aplicaciones adaptables es especialmente adecuado para servidores específicos que necesitan ejecutar un conjunto concreto de aplicaciones.AAC is particularly relevant for purpose-built servers that need to run a specific set of applications.
- Se deben habilitar los controles de aplicaciones adaptables en las máquinas virtuales.- Adaptive Application Controls should be enabled on virtual machines
- Un agente de supervisión debe estar instalado en las máquinas virtuales.- Monitoring agent should be installed on your virtual machines
- El agente de supervisión debe instalarse en las máquinas.- Monitoring agent should be installed on your machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Windows (versión preliminar).- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux (versión preliminar).- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- Los problemas de estado del agente de supervisión se deben resolver en las máquinas.- Monitoring agent health issues should be resolved on your machines

Aplicar la clasificación de datos (puntuación máxima: 2)

Apply data classification (max score 2)

La clasificación de los datos de su organización por confidencialidad e impacto empresarial le permite determinar y asignar valor a los datos, y proporciona la estrategia y la base para la gobernanza.
Classifying your organization's data by sensitivity and business impact allows you to determine and assign value to the data, and provides the strategy and basis for governance.
Azure Information Protection puede ayudarle a clasificar los datos.Azure Information Protection can assist with data classification. Este servicio usa directivas de cifrado, identidad y autorización para proteger los datos y restringir el acceso a ellos.It uses encryption, identity, and authorization policies to protect data and restrict data access. Algunas de las clasificaciones que Microsoft utiliza son No empresarial, Público, General, Confidencial y Extremadamente confidencial.Some classifications that Microsoft uses are Non-business, Public, General, Confidential, and Highly Confidential.
- Los datos confidenciales de las bases de datos SQL deben clasificarse (versión preliminar).- Sensitive data in your SQL databases should be classified (Preview)

Proteger aplicaciones contra ataques DDoS (puntuación máxima: 2)

Protect applications against DDoS attacks (max score 2)

Los ataques de denegación de servicio distribuido (DDoS) sobrecargan los recursos y dejan inutilizables las aplicaciones.
Distributed denial-of-service (DDoS) attacks overwhelm resources and render applications unusable. Use Azure DDoS Protection Standard para defender su organización de los tres tipos principales de ataques DDoS:Use Azure DDoS Protection Standard to defend your organization from the three main types of DDoS attacks:
Los - ataques volumétricos desbordan la red con tráfico legítimo.- Volumetric attacks flood the network with legitimate traffic. DDoS Protection Standard mitiga estos ataques al absorberlos o limpiarlos automáticamente.DDoS Protection Standard mitigates these attacks by absorbing or scrubbing them automatically.
Los - ataques a protocolos impiden el acceso a un destino al aprovechar una debilidad en la pila de protocolo en los niveles 3 y 4.- Protocol attacks render a target inaccessible, by exploiting weaknesses in the layer 3 and layer 4 protocol stack. DDoS Protection Standard mitiga estos ataques bloqueando el tráfico malintencionado.DDoS Protection Standard mitigates these attacks by blocking malicious traffic.
Los - ataques de nivel de recurso (aplicación) van dirigidos a paquetes de aplicación web.- Resource (application) layer attacks target web application packets. Para defenderse de este tipo de ataque, use un firewall de aplicaciones web y DDoS Protection Standard.Defend against this type with a web application firewall and DDoS Protection Standard.
- Se debe habilitar DDoS Protection Standard.- DDoS Protection Standard should be enabled
- Se deben aplicar los límites de memoria y CPU del contenedor (versión preliminar)- Container CPU and memory limits should be enforced (preview)
- El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres (versión preliminar)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

Habilitar la protección de los puntos de conexión (puntuación máxima: 2)

Enable endpoint protection (max score 2)

Para asegurarse de que los puntos de conexión están protegidos contra malware, los sensores de comportamiento recopilan y procesan datos de los sistemas operativos de los puntos de conexión y envían estos datos a la nube privada para su análisis.
To ensure your endpoints are protected from malware, behavioral sensors collect and process data from your endpoints' operating systems and send this data to the private cloud for analysis. El análisis de seguridad utiliza Big Data, el aprendizaje automático y otras fuentes para recomendar respuestas a las amenazas.Security analytics leverage big-data, machine-learning, and other sources to recommend responses to threats. Por ejemplo, ATP de Microsoft Defender usa la inteligencia sobre amenazas para identificar métodos de ataque y generar alertas de seguridad.For example, Microsoft Defender ATP uses threat intelligence to identify attack methods and generate security alerts.
Security Center admite las siguientes soluciones de protección de los puntos de conexión: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 para Windows, McAfee v10 para Linux y Sophos v9 para Linux.Security Center supports the following endpoint protection solutions: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux and Sophos v9 for Linux. Si Security Center detecta alguna de estas soluciones, dejará de mostrarse la recomendación de instalar protección de puntos de conexión.If Security Center detects any of these solutions, the recommendation to install endpoint protection will no longer appear.
- Los errores de estado de protección de puntos de conexión se deben corregir en los conjuntos de escalado de máquinas virtuales.- Endpoint protection health failures should be remediated on virtual machine scale sets
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas.- Endpoint protection health issues should be resolved on your machines
- La solución de protección de puntos de conexión se debe instalar en los conjuntos de escalado de máquinas virtuales.- Endpoint protection solution should be installed on virtual machine scale sets
- Instale la solución de protección de puntos de conexión en máquinas virtuales.- Install endpoint protection solution on virtual machines
- Los problemas de estado del agente de supervisión se deben resolver en las máquinas.- Monitoring agent health issues should be resolved on your machines
- El agente de supervisión debe instalarse en conjuntos de escalado de máquinas virtuales.- Monitoring agent should be installed on virtual machine scale sets
- El agente de supervisión debe instalarse en las máquinas.- Monitoring agent should be installed on your machines
- Un agente de supervisión debe estar instalado en las máquinas virtuales.- Monitoring agent should be installed on your virtual machines
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Windows (versión preliminar).- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux (versión preliminar).- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- Instale la solución de protección de puntos de conexión en las máquinas.- Install endpoint protection solution on your machines

Habilitar auditoría y registro (puntuación máxima: 1)

Enable auditing and logging (max score 1)

Los datos de registro proporcionan conclusiones sobre problemas anteriores, evitan problemas potenciales, pueden mejorar el rendimiento de las aplicaciones y proporcionan la capacidad de automatizar acciones que de otro modo deberían realizarse manualmente.
Logging data provides insights into past problems, prevents potential ones, can improve application performance, and provides the ability to automate actions that would otherwise be manual.
Los - registros de control y administración proporcionan información sobre las operaciones de Azure Resource Manager.- Control and management logs provide information about Azure Resource Manager operations.
Los - registros del plano de datos proporcionan información sobre los eventos desencadenados como parte del uso de los recursos de Azure.- Data plane logs provide information about events raised as part of Azure resource usage.
Los - eventos procesados proporcionan información sobre eventos y alertas analizados que se han procesado.- Processed events provide information about analyzed events/alerts that have been processed.
- La auditoría de SQL Server debe estar habilitada.- Auditing on SQL server should be enabled
- Los registros de diagnóstico de App Services deben estar habilitados.- Diagnostic logs in App Services should be enabled
- Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados.- Diagnostic logs in Azure Data Lake Store should be enabled
- Los registros de diagnóstico de Azure Stream Analytics deben estar habilitados.- Diagnostic logs in Azure Stream Analytics should be enabled
- Los registros de diagnóstico de las cuentas de Batch deben estar habilitados.- Diagnostic logs in Batch accounts should be enabled
- Los registros de diagnóstico de Data Lake Analytics deben estar habilitados.- Diagnostic logs in Data Lake Analytics should be enabled
- Los registros de diagnóstico de Event Hubs deben estar habilitados.- Diagnostic logs in Event Hub should be enabled
- Los registros de diagnóstico de IoT Hub deben estar habilitados.- Diagnostic logs in IoT Hub should be enabled
- Los registros de diagnóstico de Key Vault deben estar habilitados.- Diagnostic logs in Key Vault should be enabled
- Los registros de diagnóstico de Logic Apps deben estar habilitados.- Diagnostic logs in Logic Apps should be enabled
- Los registros de diagnóstico del servicio Search deben estar habilitados.- Diagnostic logs in Search service should be enabled
- Los registros de diagnóstico de Service Bus deben estar habilitados.- Diagnostic logs in Service Bus should be enabled
- Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados.- Diagnostic logs in Virtual Machine Scale Sets should be enabled
- Las reglas de alerta de métricas deben configurarse en las cuentas de Batch.- Metric alert rules should be configured on Batch accounts
- La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas.- SQL Auditing settings should have Action-Groups configured to capture critical activities
- Debe configurar los servidores SQL Server para que realicen una retención de la auditoría durante más de 90 días.- SQL servers should be configured with auditing retention days greater than 90 days.

Habilitar Advanced Threat Protection (puntuación máxima 0)

Enable advanced threat protection (max score 0)

Los planes opcionales de protección contra amenazas de Azure Defender de Azure Security Center proporcionan defensas completas para el entorno.
Azure Security Center's optional Azure Defender threat protection plans provide comprehensive defenses for your environment. Cuando Security Center detecta una amenaza en cualquiera de las áreas del entorno, genera una alerta.When Security Center detects a threat in any area of your environment, it generates an alert. Estas alertas describen los detalles de los recursos afectados, los pasos de corrección sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica como respuesta.These alerts describe details of the affected resources, suggested remediation steps, and in some cases an option to trigger a logic app in response.
Cada plan de Azure Defender es una oferta independiente y opcional que puede habilitar con la recomendación correspondiente en este control de seguridad.Each Azure Defender plan is a separate, optional offering which you can enable using the relevant recommendation in this security control.
Más información sobre la protección contra amenazas en Security Center.Learn more about threat protection in Security Center.
- Advanced Data Security debe estar habilitado en los servidores de Azure SQL Database- Advanced data security should be enabled on Azure SQL Database servers
- Advanced Data Security debe estar habilitado en los servidores SQL Server en las máquinas- Advanced data security should be enabled on SQL servers on machines
- Advanced Threat Protection debe estar habilitado en Virtual Machines- Advanced threat protection should be enabled on Virtual Machines
- Advanced Threat Protection debe estar habilitado en los planes de Azure App Service- Advanced threat protection should be enabled on Azure App Service plans
- Advanced Threat Protection debe estar habilitado en las cuentas de almacenamiento de Azure- Advanced threat protection should be enabled on Azure Storage accounts
- Advanced Threat Protection debe estar habilitado en los clústeres de Azure Kubernetes Service- Advanced threat protection should be enabled on Azure Kubernetes Service clusters
- Advanced Threat Protection debe estar habilitado en los registros de Azure Container Registry- Advanced threat protection should be enabled on Azure Container Registry registries
- Advanced Threat Protection debe estar habilitado en los almacenes de Azure Key Vault- Advanced threat protection should be enabled on Azure Key Vault vaults

Implementar procedimientos recomendados de seguridad (puntuación máxima: 0)

Implement security best practices (max score 0)

Prácticas de seguridad modernas: "presunción de brecha" del perímetro de red.
Modern security practices “assume breach” of the network perimeter. Por ese motivo, muchos de los procedimientos recomendados de este control se centran en la administración de identidades.For that reason, many of the best practices in this control focus on managing identities.
La pérdida de claves y credenciales es un problema común.Losing keys and credentials is a common problem. Azure Key Vault protege las claves y los secretos mediante el cifrado de claves, archivos .pfx y contraseñas.Azure Key Vault protects keys and secrets by encrypting keys, .pfx files, and passwords.
Las redes privadas virtuales (VPN) son una forma segura de acceder a las máquinas virtuales.Virtual private networks (VPNs) are a secure way to access your virtual machines. Si no hay VPN disponibles, asegúrese de usar frases de contraseña complejas y la autenticación en dos fases (como Azure Multi-Factor Authentication).If VPNs aren't available, use complex passphrases and two-factor authentication such as Azure Multi-Factor Authentication. La autenticación en dos fases evita las debilidades inherentes al uso exclusivo de nombres de usuario y contraseñas.Two-factor authentication avoids the weaknesses inherent in relying only on usernames and passwords.
El uso de plataformas sólidas de autenticación y autorización es otro procedimiento recomendado.Using strong authentication and authorization platforms is another best practice. El uso de identidades federadas permite a las organizaciones delegar la administración de identidades autorizadas.Using federated identities allows organizations to delegate management of authorized identities. Esto también es importante cuando los empleados abandonan la empresa y es necesario revocar su acceso.This is also important when employees are terminated, and their access needs to be revoked.
- Debe designar un máximo de tres propietarios para la suscripción.- A maximum of 3 owners should be designated for your subscription
- Las cuentas externas con permisos de lectura se deben eliminar de la suscripción.- External accounts with read permissions should be removed from your subscription
- MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción.- MFA should be enabled on accounts with read permissions on your subscription
- Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall.- Access to storage accounts with firewall and virtual network configurations should be restricted
- Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres de Event Hubs.- All authorization rules except RootManageSharedAccessKey should be removed from Event Hub namespace
- Se debe aprovisionar el administrador de Azure Active Directory para servidores SQL Server.- An Azure Active Directory administrator should be provisioned for SQL servers
- La seguridad avanzada de datos debe estar habilitada en las instancias administradas.- Advanced data security should be enabled on your managed instances
- Las reglas de autorización de la instancia del centro de eventos deben definirse.- Authorization rules on the Event Hub instance should be defined
- Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager.- Storage accounts should be migrated to new Azure Resource Manager resources
- Se deben migrar las máquinas virtuales a los nuevos recursos de Azure Resource Manager.- Virtual machines should be migrated to new Azure Resource Manager resources
- Las subredes deben estar asociadas con un grupo de seguridad de red.- Subnets should be associated with a Network Security Group
- [Versión preliminar] La protección contra vulnerabilidades de Windows debe estar habilitada.- [Preview] Windows exploit guard should be enabled
- [Versión preliminar] El agente de configuración de invitado debe estar instalado.- [Preview] Guest configuration agent should be installed
- Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red.- Non-internet-facing virtual machines should be protected with network security groups
- Azure Backup debería habilitarse en las máquinas virtuales- Azure Backup should be enabled for virtual machines
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB- Geo-redundant backup should be enabled for Azure Database for MariaDB
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL- Geo-redundant backup should be enabled for Azure Database for MySQL
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL- Geo-redundant backup should be enabled for Azure Database for PostgreSQL
- PHP debe actualizarse a la versión más reciente en la aplicación de API- PHP should be updated to the latest version for your API app
- PHP debe actualizarse a la versión más reciente en la aplicación web- PHP should be updated to the latest version for your web app
- Java debe actualizarse a la versión más reciente en la aplicación de API- Java should be updated to the latest version for your API app
- Java debe actualizarse a la versión más reciente en la aplicación de funciones- Java should be updated to the latest version for your function app
- Java debe actualizarse a la versión más reciente en la aplicación web- Java should be updated to the latest version for your web app
- Python debe actualizarse a la versión más reciente en la aplicación de API- Python should be updated to the latest version for your API app
- Python debe actualizarse a la versión más reciente en la aplicación de funciones- Python should be updated to the latest version for your function app
- Python debe actualizarse a la versión más reciente en la aplicación web- Python should be updated to the latest version for your web app
- La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo- Audit retention for SQL servers should be set to at least 90 days

Preguntas frecuentes sobre la puntuación de seguridadSecure score FAQ

Si solo se corrigen tres de las cuatro recomendaciones de un control de seguridad, ¿cambiará mi puntuación de seguridad?If I address only three out of four recommendations in a security control, will my secure score change?

No.No. No cambiará hasta que corrija todas las recomendaciones para un único recurso.It won't change until you remediate all of the recommendations for a single resource. Para obtener la puntuación máxima de un control, debe corregir todas las recomendaciones de todos los recursos.To get the maximum score for a control, you must remediate all recommendations, for all resources.

Si una recomendación no es aplicable a mí y la deshabilito en la directiva, ¿se cumplirá mi control de seguridad y se actualizará mi puntuación de seguridad?If a recommendation isn't applicable to me, and I disable it in the policy, will my security control be fulfilled and my secure score updated?

Sí.Yes. Se recomienda deshabilitar las recomendaciones cuando no son aplicables a su entorno.We recommend disabling recommendations when they're inapplicable in your environment. Para obtener instrucciones sobre cómo deshabilitar una recomendación específica, consulte Deshabilitar las directivas de seguridad.For instructions on how to disable a specific recommendation, see Disable security policies.

Si un control de seguridad ofrece cero puntos a mi puntuación de seguridad, ¿debería ignorarlo?If a security control offers me zero points towards my secure score, should I ignore it?

En algunos casos verá una puntuación máxima del control mayor que cero, pero el impacto es nulo.In some cases, you'll see a control max score greater than zero, but the impact is zero. Cuando la puntuación incremental para corregir recursos es insignificante, se redondea a cero.When the incremental score for fixing resources is negligible, it's rounded to zero. Aún así, no ignore estas recomendaciones ya que pueden aportarle mejoras en seguridad.Don't ignore these recommendations as they still bring security improvements. La única excepción es el control de "procedimiento recomendado adicional".The only exception is the "Additional Best Practice" control. La corrección de estas recomendaciones no aumentará la puntuación, pero mejorará la seguridad en general.Remediating these recommendations won't increase your score, but it will enhance your overall security.

Pasos siguientesNext steps

En este artículo se describe la puntuación de seguridad y los controles de seguridad que presenta.This article described the secure score and the security controls it introduces. Para obtener material relacionado, consulte los siguientes artículos:For related material, see the following articles: