Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Data Explorer. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Data Explorer.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure Data Explorer. Para ver cómo Azure Data Explorer completa el mapeo al benchmark de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Data Explorer.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Data Explorer, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | Análisis, bases de datos |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena contenido de clientes en reposo | Cierto |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: Se recomienda encarecidamente usar puntos de conexión privados para proteger el acceso de red al clúster. Esta opción tiene muchas ventajas sobre la inyección de red virtual, lo que produce una menor sobrecarga de mantenimiento, incluido un proceso de implementación más sencillo y ser más sólido para los cambios de red virtual.
Guía de configuración: implemente el clúster de Azure Data Explorer en una subred de la red virtual (VNet). Esto le permitirá implementar reglas de NSG para restringir el tráfico del clúster de Azure Data Explorer y conectar la red local a la subred del clúster de Azure Data Explorer.
Referencia: Implementación del clúster de Azure Data Explorer en la red virtual
Soporte para grupos de seguridad de red
Descripción: El tráfico de red del servicio respeta la asignación de reglas de los Grupos de Seguridad de Red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: se admite y es necesario configurar reglas de grupo de seguridad de red en caso de que Azure Data Explorer se inserte en la red virtual del cliente. No se recomienda insertar Azure Data Explorer en una red virtual. Se recomienda seguir una implementación de seguridad de red basada en punto de conexión privado: puntos de conexión privados para Azure Data Explorer.
Guía de configuración: si decide insertar Azure Data Explorer en una red virtual (se recomienda encarecidamente una solución basada en punto de conexión privado), es necesario usar la delegación de subred para la implementación del clúster. Para ello, debe delegar la subred en Microsoft.Kusto/clusters antes de crear el clúster en la subred.
Al habilitar la delegación de subred en la subred del clúster, se habilita el servicio para definir sus condiciones previas para la implementación en forma de directivas de intención de red. Al crear el clúster en la subred, las configuraciones de NSG mencionadas en las secciones siguientes se crean automáticamente.
Referencia: Configurar reglas de grupo de seguridad de red
NS-2: Protección de servicios en la nube con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: se recomienda encarecidamente usar puntos de conexión privados para proteger el acceso de red al clúster. Esta opción tiene muchas ventajas sobre la integración de red virtual que da lugar a una menor sobrecarga de mantenimiento, incluido un proceso de implementación más sencillo y ser más sólido para los cambios de red virtual.
Referencia: Puntos de conexión privados para Azure Data Explorer
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.
Referencia: Restricción del acceso público al clúster de Azure Data Explorer
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticación con Azure Active Directory (Azure AD) para el acceso a Azure Data Explorer
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: Azure Data Explorer permite la autenticación en su plano de datos con cualquier identidad de Azure Active Directory. Esto significa que se admiten identidades administradas por el usuario y el sistema. Además, Azure Data Explorer admite el uso de identidades administradas para autenticarse en otros servicios para ingesta y consulta. Para obtener más información, visite: Información general sobre identidades administradas.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Autenticación de Azure Active Directory
Principales de Servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: Azure Data Explorer admite todos los tipos de identidad de Azure Active Directory, incluidas las entidades de servicio.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Autenticación de Azure Active Directory mediante una aplicación
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional al plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
Referencia: Acceso condicional con Azure Data Explorer
IM-8: Restringir la exposición de credenciales y secretos
Características
Credenciales de servicio y secretos para la integración y el almacenamiento en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: Azure Data Explorer permite controlar el acceso al plano de datos (bases de datos y tablas), mediante un modelo de control de acceso basado en rol. En este modelo, los principales (usuarios, grupos y aplicaciones) se asignan a roles. Los usuarios pueden acceder a los recursos según los roles que se les han asignado. Sin embargo, el plano de datos de Azure Data Explorer está completamente desacoplado del RBAC de Azure para el plano de control.
Consulte: Administración de permisos de base de datos de Azure Data Explorer
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: Customer Lockbox se puede utilizar para proporcionar acceso al soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: Azure Data Explorer se admite en Microsoft Purview.
Guía de configuración: Azure Data Explorer se admite en Microsoft Purview. Puede usar Azure Purview para examinar, clasificar y etiquetar cualquier dato confidencial que resida en Azure Data Explorer.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de fuga/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: restringir el acceso saliente del clúster es importante para mitigar los riesgos como la filtración de datos. Un actor malintencionado podría crear una tabla externa en una cuenta de almacenamiento y extraer grandes cantidades de datos. Puede controlar el acceso saliente a nivel de clúster mediante la definición de políticas de acceso. La administración de directivas de llamada le permite permitir el acceso saliente a SQL, almacenamiento u otros puntos de conexión especificados.
Referencia: Restricción del acceso saliente desde el clúster de Azure Data Explorer
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de datos en Azure Data Explorer
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: para un control adicional sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para usarlas para el cifrado de datos. Puede administrar el cifrado de sus datos en el nivel de almacenamiento con sus propias claves. Una clave administrada por el cliente se usa para proteger y controlar el acceso a la clave de cifrado raíz, que se utiliza para cifrar y descifrar todos los datos. Las claves administradas por el cliente ofrecen más flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.
Referencia: Cifrado mediante la configuración de claves administradas por el cliente
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Soporte técnico de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de tus recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Utiliza los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar configuraciones seguras en los recursos de Azure.
Referencia: Controles de cumplimiento normativo de Azure Policy para Azure Data Explorer
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de Microsoft Defender para servicios/productos
Descripción: El servicio cuenta con una solución de Microsoft Defender específica para la oferta, destinada a supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Azure Data Explorer usa registros de diagnóstico para obtener información sobre la ingesta, los comandos, la consulta y las tablas. Puede exportar registros de operaciones a Azure Storage, centro de eventos o Log Analytics para supervisar la ingesta, los comandos y el estado de la consulta. Los registros de Azure Storage y Azure Event Hubs se pueden enrutar a una tabla del clúster de Azure Data Explorer para su análisis posterior.
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure