Línea de base de seguridad de Azure para VPN Gateway
Esta línea de base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a VPN Gateway. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a VPN Gateway.
Nota
Se han excluido los VPN Gateway que no son aplicables a las instrucciones globales y aquellos para los que se recomienda la guía global. Para ver cómo VPN Gateway se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de VPN Gateway completo .
Seguridad de redes
Para más información, consulte Azure Security Benchmark: seguridad de red.
NS-1: implementación de la seguridad para el tráfico interno
Guía:Cree o use una red virtual existente para implementar recursos de Azure VPN Gateway. Asegúrese de que todas las redes virtuales de Azure sigan un principio de segmentación empresarial que se alinee con los riesgos empresariales. Aísle cualquier sistema de alto riesgo dentro de su propia red virtual.
Proteja la red virtual con un grupo de seguridad de red (NSG) o Azure Firewall. Se recomiendan configuraciones de NSG basadas en reglas de tráfico de red externas. Use Microsoft Defender para la protección de red adaptable en la nube para limitar los puertos y las IP de origen.
Use reglas de NSG para restringir o permitir el tráfico entre recursos internos. Base las reglas en las aplicaciones y la estrategia de segmentación empresarial. En el caso de aplicaciones específicas y bien definidas, como las aplicaciones de tres niveles, estas reglas pueden ser una denegación altamente segura de forma predeterminada.
La comunicación de la infraestructura de Azure requiere los puertos, que no están publicados. Los certificados de Azure protegen y bloquean los puertos. Sin los certificados adecuados, las entidades externas, incluidos los clientes de puerta de enlace, no pueden afectar a esos puntos de conexión.
Creación de un grupo de seguridad de red con reglas de seguridad
Protección de red adaptable en Microsoft Defender para la nube
VPN Gateway puertos abiertos para la comunicación de infraestructura
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Network:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Microsoft Defender para la nube ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Conexión conjunta de redes privadas
Guía:Use Azure ExpressRoute VPN de Azure para crear conexiones privadas entre los centros de datos de Azure y la infraestructura local en un entorno de colocación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. ExpressRoute ofrece más confiabilidad, velocidades más rápidas y latencias más bajas que las conexiones a Internet típicas.
Para vpn de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.
Para conectar dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Configuración de VPN a través del emparejamiento privado de ExpressRoute
Configuración del tránsito de VPN Gateway con emparejamiento de VNet
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
NS-3: establecimiento del acceso de red privada a los servicios de Azure
Guía:Vpn de Azure admite protocolos IPsec/IKE estándar:
- Puertos UDP 500 y 4500
- Protocolo ESP
La VPN de punto a sitio usa el puerto TCP 443 para conexiones seguras basadas en TLS.
VPN Gateway no permite que sus puntos de conexión de administración se protejan en una red privada con Private Link.
VPN Gateway no se pueden configurar puntos de conexión de servicio Virtual Network Azure.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
NS-4: protección de las aplicaciones y servicios de ataques de redes externas
Guía:proteja los recursos VPN Gateway frente a ataques de redes externas. Los ataques externos pueden incluir denegación de servicio distribuido (DDoS), ataques específicos de la aplicación y tráfico de Internet no solicitado y potencialmente malintencionado.
Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja los recursos frente a ataques DDoS mediante la habilitación de la protección de Azure DDoS Standard en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos de red.
VPN Gateway no ejecuta aplicaciones web, por lo que no es necesario configurar ninguna configuración ni implementar ningún servicio de red para protegerse frente a ataques externos que tienen como destino aplicaciones web.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Network:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Microsoft Defender para la nube ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| Azure DDoS Protection Standard debe estar habilitado | El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.1 |
| Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.1 |
Administración de identidades
Para más información, consulte Azure Security Benchmark: Administración de identidades.
IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación
Guía:Azure VPN usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Estandarizar Azure AD para regular la administración de identidades y acceso de la organización en:
Recursos en la nube de Microsoft. Los recursos incluyen:
El Portal de Azure
Azure Storage
Azure Linux y Windows virtuales
Azure Key Vault
Plataforma como servicio (PaaS)
Aplicaciones de software como servicio (SaaS)
Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.
La protección Azure AD debe ser una prioridad alta para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a comparar su posición de seguridad de identidad con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.
Nota: Azure AD admite identidades externas que permiten a los usuarios sin una cuenta Microsoft iniciar sesión en sus aplicaciones y recursos.
La VPN de punto a sitio (P2S) de Azure admite Azure AD autenticación. Los clientes también pueden configurar vpn P2S para usar la autenticación nativa basada en certificados o la autenticación basada en RADIUS.
Configuración de la autenticación basada en certificados para VPN de Azure P2S
Configure la autenticación basada en RADIUS para la VPN de Azure P2S, la dirección URL de la tercera referencia.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones
Guía:VPN Gateway usa Azure AD para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Azure AD identidades empresariales como empleados e identidades externas como asociados, proveedores y proveedores. Azure AD permite que el inicio de sesión único (SSO) administre y proteja el acceso a los recursos y datos locales y en la nube de su organización.
Conectar todos los usuarios, aplicaciones y dispositivos que Azure AD. Azure AD ofrece un acceso seguro y sin problemas y mayor visibilidad y control.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Acceso con privilegios
Para más información, consulte Azure Security Benchmark: Acceso con privilegios.
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Guía:Las estaciones de trabajo protegidas y aisladas son fundamentales para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario altamente protegidas y Azure Bastion tareas administrativas.
Use Azure AD, Protección contra amenazas avanzada de Microsoft Defender (ATP) o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada. Puede administrar las estaciones de trabajo protegidas de forma centralizada para aplicar una configuración de seguridad que incluya:
Autenticación sólida
Líneas base de software y hardware
Acceso lógico y de red restringido
Implementación de estaciones de trabajo de acceso con privilegios
Implementación de una estación de trabajo con privilegios de acceso
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-7: Seguir el principio de privilegios mínimos para la administración
Guía:se integra con RBAC de Azure para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure a través de asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos e integrados. Puede inventariar o consultar estos roles a través de herramientas como CLI de Azure, Azure PowerShell o el Azure Portal. Limite los privilegios que asigne a los recursos a través de RbAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.
Use roles integrados para asignar permisos y solo cree roles personalizados cuando sea necesario.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Protección de datos
Para más información, consulte Azure Security Benchmark: protección de datos.
DP-4: Cifrado de la información confidencial en tránsito
Guía:la VPN de sitio a sitio usa IPsec o IKE. El protocolo de ruta de acceso de datos es Encapsulating Security Payload (ESP).
Use el cifrado para proteger los datos en tránsito frente a ataques fuera de banda, como la captura de tráfico. El cifrado garantiza que los atacantes no puedan leer ni modificar fácilmente los datos. VPN Gateway admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS) v1.2 o superior.
Este requisito es opcional para el tráfico en redes privadas, pero crítico para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden usar TLS v1.2 o superior.
Para la administración remota, use secure shell (SSH) para Linux o protocolo de escritorio remoto (RDP) y TLS para Windows. No use un protocolo sin cifrar. Deshabilite los cifrados débiles y las versiones y protocolos SSL, TLS y SSH obsoletos.
Azure cifra los datos en tránsito entre centros de datos de Azure de forma predeterminada.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de recursos
Para más información, consulte Azure Security Benchmark: Administración de recursos.
AM-1: Asegúrese de que el equipo de seguridad tiene visibilidad sobre los riesgos de los recursos.
Guía:Asegúrese de conceder permisos de lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.
La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo e structuree las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.
Puede aplicar permisos de lector de seguridad ampliamente a todo el grupo de administración raíz de un inquilino o a permisos de ámbito a suscripciones o grupos de administración específicos.
Nota: La visibilidad de las cargas de trabajo y los servicios puede requerir más permisos.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-2: Asegúrese de que el equipo de seguridad puede acceder a los metadatos y el inventario de recursos.
Guía:Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos actualizado continuamente en Azure, como VPN Gateway. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para las mejoras de seguridad continuas. Cree un Azure AD que contenga el equipo de seguridad autorizado de la organización. y asígnele acceso de lectura a todos VPN Gateway recursos. Puede simplificar el proceso con una única asignación de roles de alto nivel en su suscripción.
Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un par de nombre y valor. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.
Use Azure Virtual Machine Inventory para automatizar la recopilación de información sobre el software en máquinas virtuales (VM). El nombre de software, la versión, Publisher y el tiempo de actualización están disponibles en el Azure Portal. Para acceder a las fechas de instalación y otra información, habilite los diagnósticos de nivel de invitado e importe los registros Windows eventos en un área de trabajo de Log Analytics.
La VPN de Azure no permite ejecutar una aplicación ni instalar software en sus recursos.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-3: Uso exclusivo de servicios de Azure aprobados
Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de las suscripciones. También puede usar Azure Monitor para crear reglas que desencadene alertas cuando detecten un servicio no aprobado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
registro y detección de amenazas
Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.
LT-1: Habilitación de la detección de amenazas para recursos de Azure
Guía:VPN Gateway no proporciona funcionalidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.
Reenvía VPN Gateway a su sistema de administración de eventos e información de seguridad (SIEM). Puede usar siem para configurar detecciones de amenazas personalizadas.
Asegúrese de supervisar los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrate en obtener alertas de alta calidad para reducir los falsos positivos que los analistas pueden ordenar. Puede obtener alertas de datos de registro, agentes u otros datos.
Creación de reglas de análisis personalizadas para detectar amenazas
Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel
Solución de problemas de Azure VPN Gateway con registros de diagnóstico
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Guía:Azure AD proporciona los siguientes registros de usuario. Puede ver los registros en Azure AD informes. Puede integrar con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM y supervisión para casos de uso sofisticados de supervisión y análisis.
Inicios de sesión: proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión de usuario.
Registros de auditoría: proporciona rastreabilidad a través de registros para todos los cambios realizados por Azure AD características. Los registros de auditoría incluyen los cambios realizados en cualquier recurso dentro Azure AD. Los cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
Inicios de sesión de riesgo: un indicador de los intentos de inicio de sesión de alguien que podría no ser el legítimo propietario de una cuenta de usuario.
Usuarios marcados en riesgo: un indicador de una cuenta de usuario que podría estar en peligro.
Microsoft Defender para la nube también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación con errores. Las cuentas en desuso de la suscripción también pueden desencadenar alertas.
Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube puede recopilar alertas de seguridad más detalladas de:
Recursos de proceso individuales de Azure, como máquinas virtuales, contenedores y App Service
Recursos de datos como Azure SQL Database y Azure Storage
Capas de servicio de Azure
Esta funcionalidad proporciona visibilidad sobre las anomalías de cuentas en recursos individuales.
Informes de actividad de auditoría en Azure Active Directory
Protección contra amenazas en Microsoft Defender para la nube
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-3: Habilitación del registro para las actividades de red de Azure
Guía:Habilite y recopile registros de recursos de grupos de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) para el análisis de seguridad. Los registros admiten investigaciones de incidentes, búsqueda de amenazas y generación de alertas de seguridad. Puede enviar los registros de flujo a un área Azure Monitor de trabajo de Log Analytics y usar Análisis de tráfico para proporcionar información detallada.
VPN Gateway registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la funcionalidad de registro de flujo de NSG en la puerta de enlace de VPN implementada.
VPN Gateway no genera ni procesa registros de consulta DNS.
Habilitación de los registros de flujo de grupos de seguridad de red
Soluciones de supervisión de redes de Azure en Azure Monitor
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Network:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
LT-4: Habilitación del registro para recursos de Azure
Guía:los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para VPN Gateway recursos. Puede usar registros de actividad para buscar errores al solucionar problemas o para supervisar cómo los usuarios modificaron los recursos.
Habilite los registros de recursos de Azure VPN Gateway. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y para ejercicios forenses.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Información sobre la recopilación de datos de Microsoft Defender para la nube
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-6: Configuración de la retención del almacenamiento de registros
Guía:En el caso de las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que almacenan VPN Gateway registros, establezca un período de retención de registros que cumpla las regulaciones de cumplimiento de su organización.
Configuración del período de retención del área de trabajo de Log Analytics
Almacenamiento de registros de recursos en una cuenta de Azure Storage
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
administración de posturas y vulnerabilidades
Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.
PV-1: establecimiento de configuraciones seguras para servicios de Azure
Guía:use Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación. Una única definición de plano técnico puede incluir Azure Resource Manager, controles RBAC y directivas.
Puede configurar directivas criptográficas personalizadas VPN Gateway mediante el Azure Portal, PowerShell o CLI de Azure.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-2: sostenimiento de configuraciones seguras para servicios de Azure
Guía:puede configurar directivas personalizadas de IPsec o IKE para VPN Gateway mediante el Azure Portal, PowerShell o CLI de Azure.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-3: establecimiento de configuraciones seguras para los recursos de proceso
Guía:Use Microsoft Defender para la nube y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales y los contenedores.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-6: Realización de evaluaciones de vulnerabilidad de software
Instrucciones: No aplicable. Microsoft no administración de vulnerabilidades los sistemas subyacentes que admiten VPN Gateway.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
PV-8: realización de una simulaciones de ataques periódicas
Guía:Realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure según sea necesario y asegúrese de corregir todos los resultados de seguridad críticos.
Siga las reglas de compromiso de las pruebas de penetración en la nube de Microsoft para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft. Siga las reglas de compromiso de las pruebas de penetración en la nube de Microsoft para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft. Use la estrategia y la ejecución de Red Teaming de Microsoft. Realice pruebas de penetración de sitios en vivo en aplicaciones, servicios y infraestructuras en la nube administradas por Microsoft.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
seguridad de los puntos de conexión
Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.
ES-2: Uso de software antimalware moderno y administrado centralmente
Guía:proteja su VPN Gateway sus recursos con software antimalware moderno y administrado centralmente.
Use una solución antimalware de punto de conexión administrada centralmente capaz de realizar análisis periódicos y en tiempo real.
Use Antimalware para Azure Cloud Services como solución antimalware predeterminada para Windows virtuales.
En el caso de las máquinas virtuales Linux, use una solución antimalware de terceros.
Use Microsoft Defender para la detección de amenazas en la nube para que los servicios de datos detecten malware cargado en Azure Storage cuentas.
Use Microsoft Defender para la nube para:
- Identificar varias soluciones antimalware populares para las máquinas virtuales
- Estado de ejecución de Report Endpoint Protection
- Hace recomendaciones.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
ES-3: Asegúrese de actualizar el software antimalware y las firmas
Guía:Asegúrese de actualizar las firmas antimalware de forma rápida y coherente.
Siga las recomendaciones de "Aplicaciones de proceso" de Microsoft Defender para la nube para asegurarse de que todas las máquinas virtuales y contenedores están & actualizados con las firmas más recientes.
Por Windows, Microsoft Antimalware instala automáticamente las firmas y actualizaciones del motor más recientes de forma predeterminada. Para Linux, use una solución antimalware de terceros.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
Copia de seguridad y recuperación
Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.
BR-1: Asegúrese de ejecutar copias de seguridad automatizadas periódicas
Instrucciones: No aplicable. VPN Gateway no admite la copia de seguridad de datos y no tiene necesidad de realizar la copia de seguridad de datos.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
BR-2: Cifrado de los datos de copia de seguridad
Guía:VPN Gateway servicio usa Azure Storage replicación automática de datos para los metadatos del sistema que almacena. VPN Gateway también usa Azure Storage de cifrado en reposo.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía:VPN Gateway usa Azure Storage de replicación.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
BR-4: Mitigación del riesgo de pérdida de claves
Guía:Asegúrese de tener medidas para evitar y recuperarse de la pérdida de claves. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.
VPN Gateway utiliza Azure Storage de replicación.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Pasos siguientes
- Consulte la Información general sobre Azure Security Benchmark V2.
- Obtenga más información sobre las líneas de base de seguridad de Azure.