Controles de cumplimiento normativo de Azure Policy para los servicios de Azure AI
Cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas por Microsoft, conocidas como integraciones, para los dominios de cumplimiento y los controles de seguridad relativos a distintos estándares de cumplimiento. Esta página enumera los dominios de conformidad y controles de seguridad para los servicios Azure AI. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Los recursos de Servicios de Azure AI deben usar Azure Private Link | 1.0.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Protección de datos | DP-5 | Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
| registro y detección de amenazas | LT-3 | Habilitación del registro para la investigación de seguridad | Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados | 1.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Control de acceso | 3.1.13 | Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Control de acceso | 3.1.14 | Enruta el acceso remoto a través de puntos de control de acceso administrados. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Identificación y autenticación | 3.5.5 | Evite la reutilización de identificadores durante un período definido. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| Identificación y autenticación | 3.5.6 | Deshabilitar los identificadores después de un período definido de inactividad. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección de datos U.05.2: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán según el estado más reciente del arte. | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
| U.07.1 Separación de los datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | [En desuso]: Cognitive Services debe usar un vínculo privado | 3.0.1-en desuso |
| U.07.1 Separación de los datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | 1.1.0 |
| U.11.3 Cryptoservices: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.4 | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 | |
| Protección contra suplantación de identidad (anti-phishing) | Protección contra suplantación de identidad (anti-phishing)-14.1 | Los recursos de Servicios de Azure AI deben restringir el acceso a la red | 3.2.0 |
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Controles de acceso lógicos y físicos | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | 2.2.0 |
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.