Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta base de referencia de seguridad sigue las directrices del Microsoft Cloud Security Benchmark, versión 1.0, aplicado a Batch. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Batch.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento Normativo en el portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Batch. Para ver cómo Batch se mapea completamente al benchmark de seguridad en la nube de Microsoft, consulte el archivo completo de mapeo de la base de seguridad de Batch .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Batch, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | Compute |
| El cliente puede acceder al HOST o al SO. | Solo lectura |
| El servicio se puede implementar en el Virtual Network del cliente | Cierto |
| Almacena contenido de clientes en reposo | Falso |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de Red Virtual
Description: el servicio admite la implementación en la Virtual Network privada (VNet) del cliente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de Configuración: Despliega pools de Azure Batch dentro de una red virtual. Considere la posibilidad de aprovisionar el grupo sin direcciones IP públicas para restringir el acceso a los nodos de la red privada y reducir la visibilidad de los nodos desde la Internet.
Reference: Crear un grupo de Azure Batch en un Virtual Network
Soporte para grupos de seguridad de red
Descripción: El tráfico de red del servicio respeta la asignación de reglas de los Grupos de Seguridad de Red en sus subredes. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: de forma predeterminada, Batch agrega grupos de seguridad de red (NSG) en el nivel de interfaces de red (NIC) asociado a los nodos de proceso.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Reference: Crear un grupo de Azure Batch en un Virtual Network
NS-2: Protección de cloud services con controles de red
Características
Azure Private Link
Description: Capacidad de filtrado IP nativa del servicio para filtrar el tráfico de red (no confundirse con el Grupo de Seguridad de Red o Azure Firewall). Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Implementación de puntos de conexión privados para cuentas de Azure Batch. Esto restringe el acceso a las cuentas de Batch a la red virtual donde residen o a cualquier red virtual emparejada.
Reference: Use puntos de conexión privados con cuentas de Azure Batch
Deshabilitar el acceso de red pública
Description: El servicio admite la deshabilitación del acceso de red pública mediante el uso de la regla de filtrado ACL de IP a nivel de servicio (no NSG ni Azure Firewall) o mediante un interruptor de alternancia "Deshabilitar acceso de red pública". Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Reference: Deshabilitar el acceso a la red pública
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Description: El servicio admite el uso de autenticación de Azure AD para acceso al plano de datos. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Configuration Guidance: Use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos en lugar de usar claves compartidas.
Reference: Authenticate con Azure AD
Métodos de autenticación local para el acceso del plano de datos
Description: Métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Configuration Guidance: Restrinja el uso de métodos de autenticación local para acceso al plano de datos. En vez de ello, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Reference: Authentication mediante clave compartida
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, las cuales pueden autenticarse en servicios y recursos de Azure que admiten la autenticación con Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Reference: Configurar identidades administradas en grupos de Batch
Principales de Servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía adicional: Para autenticar una aplicación que se ejecuta desatendida, puede usar una entidad de servicio. Después de registrar la aplicación, realice las configuraciones adecuadas en el portal de Azure para la entidad de servicio, como solicitar un secreto para la aplicación y asignar roles de RBAC de Azure.
Referencia: Autenticar soluciones de servicio Batch con Azure Active Directory
IM-7: Restringir el acceso a recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Description: El acceso del plano de datos se puede controlar mediante las directivas de acceso condicional de Azure AD. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restringir la exposición de credenciales y secretos
Características
Credenciales de servicio y secretos admite la integración y el almacenamiento en Azure Key Vault.
Description: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso privilegiado
Para obtener más información, consulte el Benchmark de seguridad en la nube deMicrosoft: Privileged access.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
Azure RBAC para el plano de datos
Description: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Instrucciones de configuración: use el control de acceso basado en roles de Azure (Azure RBAC) para administrar el acceso a los recursos de Azure a través de asignaciones de roles integradas. Azure Batch admite Azure RBAC para administrar acceso a estos tipos de recursos: cuentas, trabajos, tareas y grupos.
Referencia: Asignar Azure RBAC a su aplicación
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de fuga/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: parte de la información especificada en las API de Batch, como certificados de cuenta, metadatos de trabajos y tareas, y líneas de comandos de las tareas, se cifran automáticamente cuando el servicio Batch las almacena. De forma predeterminada, estos datos se cifran mediante claves administradas por la plataforma de Azure Batch, únicas para cada cuenta de Azure Batch.
También puede cifrar estos datos mediante claves administradas por el cliente. Azure Key Vault se utiliza para generar y almacenar la clave, con el identificador de clave registrado en su cuenta de Batch.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Reference: Configure claves administradas por el cliente
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Description: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados del cliente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y storage de claves. Rote y revoque sus claves en Azure Key Vault y su servicio según un horario definido o cuando haya una retirada o compromiso de clave. Cuando es necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir las mejores prácticas para la gestión de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en la bóveda de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales en Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Nota: El cliente debe optar por usar claves administradas por el cliente de lo contrario de forma predeterminada, el servicio usará claves de plataforma administradas por Microsoft.
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Description: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, importación, rotación, revocación, storage y purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez excesivamente largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen girando mediante métodos manuales en Azure Key Vault y la aplicación.
Referencia: Usar certificados y acceder a Azure Key Vault de forma segura con Batch
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Soporte de Azure Policy
Description: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de Configuración: Use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Utilice Azure Policy con los efectos [deny] y [deploy if not exists] para hacer cumplir una configuración segura en los recursos de Azure.
En los escenarios en los que no existen definiciones de directiva integradas, puede usar Azure Policy alias en el espacio de nombres "Microsoft.Batch" para crear directivas personalizadas.
Reference: Definiciones integradas de Azure Policy para Azure Batch
AM-5: Usar solo aplicaciones aprobadas en la máquina virtual
Características
Microsoft Defender for Cloud: controles de aplicación adaptables
Description: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicación adaptables en Microsoft Defender for Cloud. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Description: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de storage o un área de trabajo de Log Analytics. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos de Azure para Azure Batch para los siguientes tipos de registro: ServiceLog y AllMetrics.
Referencia: Métricas por lotes, alertas y registros para evaluación diagnóstica y monitorización
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.
PV-3: Definir y establecer configuraciones seguras para los recursos de proceso
Características
Configuración del Estado de Azure Automation
Description: Azure Automation State Configuration se puede usar para mantener la configuración de seguridad del sistema operativo. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Agente de Configuración de Invitado de Azure Policy
Description: Azure Policy agente de configuración invitado se puede instalar o implementar como una extensión para calcular recursos. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Imágenes de máquina virtual personalizadas
Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: cuando sea posible, use una imagen protegida preconfigurada de un proveedor de confianza, como Microsoft, o cree una línea base de configuración segura deseada en la plantilla de imagen de máquina virtual.
Los clientes también pueden usar imágenes de sistema operativo personalizadas para Azure Batch. Al usar la configuración de la máquina virtual para Azure Batch, asegúrese de que las imágenes personalizadas se refuercen según las necesidades de la organización. Para la gestión del ciclo de vida, los grupos almacenan las imágenes en una galería de imágenes compartida. Puede configurar un proceso de compilación de imágenes segura mediante herramientas de Azure Automation, como Azure Image Builder.
Reference: Use una imagen administrada para crear un grupo de imágenes personalizado
Imágenes de contenedores personalizados
Descripción: el servicio admite el uso de imágenes de contenedor proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: si usa el grupo de Batch para ejecutar tareas en contenedores compatibles con Docker en los nodos, use imágenes de contenedor protegidas preconfiguradas de un proveedor de confianza, como Microsoft, o cree la línea base de configuración segura deseada en la plantilla de imagen de contenedor.
Reference: Ejecutar aplicaciones de contenedor en Azure Batch
PV-5: Realizar evaluaciones de vulnerabilidades
Características
Evaluación de vulnerabilidades mediante Microsoft Defender
Description: El servicio se puede escanear para detectar vulnerabilidades mediante Microsoft Defender for Cloud o mediante la capacidad integrada de evaluación de vulnerabilidades de otros servicios de Microsoft Defender (incluidos Microsoft Defender para servidor, servicio de registro de contenedores, App Service, SQL y DNS). Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PV-6: Corrección rápida y automática de vulnerabilidades
Características
Gestión de Actualizaciones de Azure Automation
Description: El servicio puede usar Azure Automation Update Management para implementar revisiones y actualizaciones automáticamente. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Seguridad de los puntos de conexión
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
Características
Solución EDR
Description: Característica de detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
ES-2: Usar software antimalware moderno
Características
Solución antimalware
Description: Funciones antimalware, como Microsoft Defender Antivirus y Microsoft Defender para Endpoint, se pueden implementar en el punto de conexión. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
ES-3: Asegurarse de que se actualizan las firmas y el software antimalware
Características
Supervisión del estado de la solución antimalware
Descripción: La solución antimalware proporciona supervisión del estado de salud para la plataforma, el motor y las actualizaciones automáticas de firma. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Description: El servicio se puede respaldar mediante el servicio Azure Backup. Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Description: El servicio admite su propia funcionalidad de copia de seguridad nativa (si no se usa Azure Backup). Saber más.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre líneas base de seguridad de Azure