Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica las directrices del Microsoft Cloud Security Benchmark versión 1.0 en los conjuntos de escalas de máquina virtual. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a los conjuntos de escalado de máquinas virtuales.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a los conjuntos de escalado de máquinas virtuales. Para ver cómo Virtual Machine Scale Sets coincide completamente con el estándar de seguridad de la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Virtual Machine Scale Sets.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de los conjuntos de escalado de máquinas virtuales, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | Compute |
| El cliente puede acceder a HOST/OS. | Acceso total |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena el contenido del cliente en reposo | Cierto |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Redes virtuales y máquinas virtuales en Azure
Soporte de grupos de seguridad de red
Descripción: El tráfico de la red del servicio respeta la asignación de reglas de los grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico de la red virtual y los Azure Load Balancers.
Al crear una máquina virtual (VM) de Azure, debe crear una red virtual o usar una red virtual existente y configurar la máquina virtual con una subred. Asegúrese de que todas las subredes implementadas tienen aplicado un grupo de seguridad de red con controles de acceso de red específicos de los puertos y orígenes de confianza de las aplicaciones.
Referencia: Grupos de seguridad de red
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las recomendaciones de protección de red adaptables deben aplicarse en máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de las máquinas virtuales accesibles desde Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la posible superficie expuesta a ataques. | AuditIfNotExists, Deshabilitado | 3.0.0 |
NS-2: Protección de servicios en la nube con controles de red
Características
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: los servicios instalados con el sistema operativo se pueden usar para proporcionar filtrado de red a acceso de red pública deshabilitado.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos. Azure AD protege los datos mediante el cifrado seguro para los datos en reposo y en tránsito. Azure AD también almacena las credenciales de usuario, los hashes y de forma segura. Puede usar identidades administradas para autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Key Vault, sin credenciales en el código. El código que se ejecuta en una máquina virtual puede usar su identidad administrada para solicitar tokens de acceso para los servicios que admiten la autenticación de Azure AD.
Referencia: Implementación de unión a Azure AD
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Referencia: Identidades administradas para recursos de Azure
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de funciones: Las principales de servicio pueden ser utilizadas por aplicaciones que se ejecutan en conjuntos de escalado de máquinas virtuales.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol | AuditIfNotExists, Deshabilitado | 1.0.1 |
IM-8: Restringir la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales de servicio y secretos con soporte en Azure Key Vault.
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: dentro del plano de datos o del sistema operativo, los servicios pueden llamar a Azure Key Vault para obtener credenciales o secretos.
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Crear máquinas virtuales en un conjunto de escalas usando Azure portal
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.
Referencia: Rol integrado para colaborador de máquina virtual
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: La Customer Lockbox puede utilizarse para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: En escenarios de soporte técnico en los que Microsoft necesita acceder a tus datos, utiliza Customer Lockbox para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a tus datos por parte de Microsoft.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de filtración/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: determinados protocolos de comunicación, como SSH, se cifran de forma predeterminada. Sin embargo, los servicios como RDP o HTTP deben configurarse para usar TLS para el cifrado.
Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Referencia: Cifrado en tránsito en máquinas virtuales
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: además del cifrado estándar con claves administradas por la plataforma, los clientes sensibles a la seguridad alta que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave concretos que estén en peligro ahora pueden optar por una capa adicional de cifrado mediante un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma y claves administradas por el cliente. Esta capa nueva se puede aplicar a discos de datos y de sistema operativo persistentes, instantáneas e imágenes, los cuales se cifrarán en reposo con el cifrado doble.
Para obtener más información, visite: Cifrado doble en reposo.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Azure Disk Encryption para conjuntos de escalado de máquinas virtuales
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | De forma predeterminada, los discos de datos y del sistema operativo de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para obtener más información, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.2.0-preview |
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Los discos virtuales en máquinas virtuales (VM) se cifran en reposo mediante el cifrado del lado servidor o el cifrado de disco de Azure (ADE). Azure Disk Encryption aprovecha la característica de DM-Crypt de Linux para cifrar discos administrados con claves administradas por el cliente dentro de la máquina virtual invitada. El cifrado del lado servidor con claves administradas por el cliente mejora ADE al permitirle usar cualquier tipo de sistema operativo e imágenes para las máquinas virtuales mediante el cifrado de datos en el servicio Storage.
Al especificar una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves administradas por el cliente ofrecen mayor flexibilidad para administrar los controles de acceso. Debe usar Azure Key Vault o el módulo de seguridad de hardware administrado (HSM) de Azure Key Vault para almacenar las claves administradas por el cliente.
Puede importar las claves RSA a su instancia de Key Vault o generar nuevas claves RSA en Azure Key Vault. Azure Managed Disks controla el cifrado y descifrado de forma totalmente transparente con cifrado de sobre. Cifra los datos mediante una clave de cifrado de datos basada en AES 256 (DEK), que es, a su vez, protegida mediante las claves. El servicio Storage genera claves de cifrado de datos y las cifra con claves administradas por el cliente mediante el cifrado RSA. El cifrado de sobres permite rotar (cambiar) las claves periódicamente según las directivas de cumplimiento sin afectar a las VM. Al rotar las claves, el servicio Storage vuelve a cifrar las claves de cifrado de datos con las nuevas claves administradas por el cliente.
Managed Disks y Key Vault o HSM administrado deben estar en la misma región de Azure, pero pueden estar en distintas suscripciones. También deben estar en el mismo inquilino de Azure Active Directory (Azure AD), a menos que cifre discos administrados con claves administradas entre inquilinos.
Referencia: Creación y configuración de un almacén de claves para Azure Disk Encryption
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o riesgo de claves. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Creación y configuración de un almacén de claves para Azure Disk Encryption
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Azure Policy se puede usar para definir el comportamiento deseado para las máquinas virtuales Windows y las máquinas virtuales Linux de su organización. Mediante el uso de directivas, una organización puede aplicar varias convenciones y reglas en toda la empresa y definir e implementar configuraciones de seguridad estándar para conjuntos de escalado de máquinas virtuales de Azure. El cumplimiento del comportamiento deseado puede ayudar a mitigar el riesgo al contribuir al éxito de la organización.
Referencia: Definiciones integradas de Azure Policy para conjuntos de escalado de máquinas virtuales
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Auditar, Denegar, Deshabilitado | 1.0.0 |
AM-5: Usar solo aplicaciones aprobadas en la máquina virtual
Características
Microsoft Defender for Cloud: controles de aplicaciones adaptables
Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicaciones adaptables en Microsoft Defender for Cloud. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: utilice los controles de aplicaciones adaptables de Microsoft Defender for Cloud para detectar aplicaciones que se ejecutan en máquinas virtuales (VM) y generar una lista de aplicaciones permitidas para especificar qué aplicaciones aprobadas pueden ejecutarse en el entorno de la máquina virtual.
Referencia: Usar controles de aplicación adaptables para reducir las superficies expuestas a ataques de las máquinas
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicación adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas. | Habilite los controles de aplicación para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas y avisarle cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Deshabilitado | 3.0.0 |
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de microsoft Defender para servicio o producto
Descripción: El servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Defender for Servers amplía la protección a las máquinas Windows y Linux que se ejecutan en Azure. Defender para servidores se integra con Microsoft Defender para punto de conexión para proporcionar detección y respuesta de puntos de conexión (EDR) y también proporciona una serie de características de protección contra amenazas adicionales, como líneas base de seguridad y evaluaciones de nivel del sistema operativo, examen de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de integridad de archivos (FIM) y mucho más.
Referencia: Información general de Microsoft Defender para servidores
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Deshabilitado | 2.0.0 |
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Azure Monitor comienza a recopilar automáticamente datos de métricas para el host de máquina virtual al crear la máquina virtual. Sin embargo, para recopilar registros y datos de rendimiento del sistema operativo invitado de la máquina virtual, debe instalar el agente de Azure Monitor. Puede instalar el agente y configurar la recopilación mediante VM Insights o mediante la creación de una regla de recopilación de datos.
Referencia: Introducción al agente de Log Analytics
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.
PV-3: Definir y establecer configuraciones seguras para los recursos de proceso
Características
Configuración de Estado de Azure Automation
Descripción: State Configuration de Azure Automation se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Use Azure Automation State Configuration para mantener la configuración de seguridad del sistema operativo. State Configuration de Azure Automation es un servicio de administración de configuración de Azure que permite escribir, administrar y compilar configuraciones de Desired State Configuration (DSC) de PowerShell para los nodos.
State Configuration de Azure Automation proporciona varias ventajas sobre el uso de DSC fuera de Azure. Este servicio permite la escalabilidad en miles de máquinas de forma rápida y sencilla desde una ubicación central y segura. Puede habilitar fácilmente las máquinas, asignarlas configuraciones declarativas y ver informes que muestran el cumplimiento de cada máquina con el estado deseado que especifique.
Referencia: Uso de conjuntos de escalado de máquinas virtuales con la extensión DSC de Azure
Agente de configuración de huésped de Azure Policy
Descripción: el agente de configuración de invitado de Azure Policy se puede instalar o implementar como una extensión para calcular los recursos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use el agente de configuración de invitado de Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente las desviaciones de configuración en las máquinas virtuales.
Referencia: Descripción de la característica de configuración de invitado de Azure Policy
Imágenes de máquina virtual personalizadas
Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use una imagen protegida preconfigurada de un proveedor de confianza, como Microsoft, o cree una línea base de configuración segura deseada en la plantilla de imagen de máquina virtual.
PV-4: Auditar y aplicar configuraciones seguras para los recursos de proceso
Características
Máquina virtual de inicio seguro
Descripción: El inicio seguro protege contra técnicas de ataque avanzadas y persistentes mediante la combinación de tecnologías de infraestructura como arranque seguro, vTPM y supervisión de integridad. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas. El inicio seguro permite la implementación segura de máquinas virtuales con cargadores de arranque comprobados, kernels del sistema operativo y controladores, y protege de forma segura claves, certificados y secretos en las máquinas virtuales. El arranque seguro también proporciona información y certeza sobre la integridad de toda la cadena de arranque, y garantiza que las cargas de trabajo sean confiables y verificables. El inicio confiable está integrado con Microsoft Defender for Cloud para asegurar que las máquinas virtuales estén configuradas correctamente, mediante la atestación remota de que la máquina virtual se ha iniciado de manera saludable. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Nota de la característica: El inicio confiable está disponible para máquinas virtuales de generación 2. El inicio seguro requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Guía de configuración: el inicio de confianza se puede habilitar durante la implementación de la máquina virtual. Habilite las tres: arranque seguro, vTPM y supervisión de arranque de integridad para garantizar la mejor posición de seguridad para la máquina virtual. Tenga en cuenta que hay algunos requisitos previos, como la incorporación de la suscripción a Microsoft Defender for Cloud, la asignación de determinadas iniciativas de Azure Policy y la configuración de directivas de firewall.
Referencia: Implementación de una máquina virtual con el inicio de confianza habilitado
PV-5: Realizar evaluaciones de vulnerabilidades
Características
Evaluación de vulnerabilidades mediante Microsoft Defender
Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender for Cloud u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios de Microsoft Defender (incluido Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure.
Referencia: Información general de Microsoft Defender para servidores
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
PV-6: Corrección rápida y automática de vulnerabilidades
Características
Update Management en Azure Automation
Descripción: el servicio puede usar Update Management de Azure Automation para implementar revisiones y actualizaciones automáticamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: Microsoft ofrece otras funcionalidades para ayudarle a administrar las actualizaciones de las máquinas virtuales de Azure o los conjuntos de escalado de máquinas virtuales de Azure que debe tener en cuenta como parte de la estrategia general de administración de actualizaciones.
Si está interesado en evaluar y actualizar automáticamente sus máquinas virtuales de Azure para mantener el cumplimiento de seguridad con las actualizaciones críticas y de seguridad publicadas cada mes, revise la Aplicación automática de parches del sistema invitado de VM. Se trata de una solución alternativa de administración de actualizaciones para que las máquinas virtuales de Azure se actualicen automáticamente durante las horas de poca actividad, incluidas las máquinas virtuales que están dentro de un conjunto de disponibilidad; este proceso es diferente de la administración de implementaciones de actualizaciones en las máquinas virtuales con Update Management en Azure Automation.
Si administra conjuntos de escalado de máquinas virtuales de Azure, revise cómo realizar actualizaciones automáticas de imágenes del sistema operativo para actualizar de forma segura y automática el disco del sistema operativo para todas las instancias del conjunto de escalado.
Para más información, visite: Actualizaciones automáticas de imágenes del sistema operativo del conjunto de escalado de máquinas virtuales de Azure.
Guía de configuración: esta característica no se admite para proteger este servicio.
Azure Guest Patching Service
Descripción: el servicio puede usar Azure Guest Patching para implementar revisiones y actualizaciones automáticamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Los servicios pueden aprovechar los diferentes mecanismos de actualización, como actualizaciones automáticas de imágenes del sistema operativo y parches automáticos del sistema invitado. Las funcionalidades se recomiendan para aplicar las actualizaciones críticas y de seguridad más recientes al sistema operativo invitado de la máquina virtual siguiendo los principios de implementación segura.
Auto Patching de Invitado permite evaluar y actualizar automáticamente las máquinas virtuales de Azure para mantener el cumplimiento normativo de seguridad con los parches críticos y de seguridad publicados cada mes. Las actualizaciones se aplican durante las horas de poca actividad, incluidas las máquinas virtuales dentro de un conjunto de disponibilidad. Esta funcionalidad está disponible para la orquestación flexible de VMSS, con compatibilidad futura en la hoja de ruta para la orquestación uniforme.
Si ejecuta una carga de trabajo sin estado, las actualizaciones automáticas de imágenes del sistema operativo son ideales para aplicar la actualización más reciente para el VMSS Uniform. Con la funcionalidad de reversión, estas actualizaciones son compatibles con Marketplace o imágenes personalizadas. Compatibilidad con la actualización gradual futura en la hoja de ruta para la orquestación flexible.
Referencia: Parcheo automático de huéspedes de VM para máquinas virtuales de Azure
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Las actualizaciones del sistema deben ser instaladas en tus equipos (impulsado por Update Center) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
Seguridad de los puntos de conexión
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
Características
Solución EDR
Descripción: la característica detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Azure Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender for Cloud para implementar Azure Defender para servidores en sus endpoints e integrar las alertas en su solución SIEM, como Azure Sentinel.
Referencia: Licencia integrada para Microsoft Defender para punto de conexión
ES-2: Usar software antimalware moderno
Características
Solución antimalware
Descripción: Una característica antimalware, como Antivirus de Microsoft Defender, Microsoft Defender para el punto de conexión se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: para Windows Server 2016 y versiones posteriores, Microsoft Defender para Antivirus está instalado de forma predeterminada. Para Windows Server 2012 R2 y versiones posteriores, los clientes pueden instalar SCEP (System Center Endpoint Protection). Para Linux, los clientes pueden tener la opción de instalar Microsoft Defender para Linux. Como alternativa, los clientes también tienen la opción de instalar productos antimalware de terceros.
Referencia: Microsoft Antimalware para Azure Cloud Services y Virtual Machines
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La evaluación de Endpoint Protection se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deshabilitado | 1.0.0 |
ES-3: Asegurarse de que se actualizan las firmas y el software antimalware
Características
Supervisión del estado de la solución antimalware
Descripción: la solución antimalware proporciona supervisión del estado de salud de la plataforma, motor, y actualizaciones automáticas de firma. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configure la solución antimalware para asegurarse de que la plataforma, el motor y las firmas se actualizan de forma rápida y coherente y su estado se puede supervisar.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La evaluación de Endpoint Protection se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deshabilitado | 1.0.0 |
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: compatible con VMSS Flex y no para VMSS Uniforme
Guía de configuración: habilite Azure Backup y azure Virtual Machines (VM) de destino, así como la frecuencia y los períodos de retención deseados. Esto incluye una copia de seguridad completa del estado del sistema. Si usa Azure Disk Encryption, la copia de seguridad de máquina virtual de Azure controla automáticamente la copia de seguridad de claves administradas por el cliente. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 3.0.0 |
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure