Compartir a través de

Azure Local e ISO/IEC 27001:2022

  • Artículo

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se describe cómo Azure Local ayuda a las organizaciones a cumplir los requisitos de control de seguridad de ISO/IEC 27001:2022, tanto en la nube como en el entorno local. Obtenga más información sobre Azure Local y otros estándares de seguridad en Los estándares de seguridad y locales de Azure.

ISO o CEI 27001:2022

ISO/IEC 27001 es un estándar de seguridad global que especifica los requisitos para establecer, implementar, operar, supervisar, mantener y mejorar un sistema de administración de seguridad de la información (ISMS). La certificación en ISO/IEC 27001:2022 ayuda a las organizaciones a mejorar su posición de seguridad, crear confianza con sus clientes y puede ayudar a cumplir diversas obligaciones legales y normativas que implican seguridad de la información, como PCI DSS, HIPAA, HITRUST y FedRAMP. Obtenga más información sobre el estándar en ISO/IEC 27001.

Azure Local

Azure Local es una solución híbrida que proporciona una integración perfecta entre la infraestructura local de las organizaciones y los servicios en la nube de Azure, lo que ayuda a consolidar cargas de trabajo y contenedores virtualizados y a obtener eficiencias en la nube cuando los datos deben permanecer en el entorno local por motivos legales o de privacidad. Las organizaciones que buscan la certificación ISO/IEC 27001:2022 para sus soluciones deben tener en cuenta sus entornos locales y en la nube.

Servicios en la nube conectados

Azure Local proporciona una integración profunda con varios servicios de Azure, como Azure Monitor, Azure Backup y Azure Site Recovery, para ofrecer nuevas funcionalidades al entorno híbrido. Estos servicios en la nube se someten a auditorías periódicas independientes de terceros para el cumplimiento de ISO/IEC 27001:2022. Puede revisar el certificado y el informe de auditoría ISO/IEC 27001:2022 de Azure en las ofertas de cumplimiento de Azure: ISO/IEC 27001:2022.

Importante

El estado de cumplimiento de Azure no concede la acreditación ISO/IEC 27001 para los servicios que una organización crea o hospeda en la plataforma Azure. Las organizaciones son responsables de garantizar el cumplimiento de sus operaciones con los requisitos de ISO/IEC 27001:2022.

Soluciones en el entorno local

Local de Azure proporciona una matriz de características que ayudan a las organizaciones a satisfacer los requisitos de seguridad de ISO/IEC 27001:2022. En las secciones siguientes se proporciona más información.

Funcionalidades locales de Azure pertinentes para ISO/IEC 27001:2022

En esta sección se describe cómo las organizaciones pueden usar la funcionalidad local de Azure para cumplir los controles de seguridad del anexo A de ISO/IEC 27001:2022. La siguiente información solo cubre los requisitos técnicos. Los requisitos relacionados con las operaciones de seguridad están fuera del ámbito, ya que Azure Local no puede afectarlos. La guía está organizada por los nueve dominios del Anexo A:

En la guía de este artículo se describe cómo se pueden usar las funcionalidades locales de Azure para cumplir los requisitos de cada dominio. Es importante tener en cuenta que no todos los controles son obligatorios. Las organizaciones deben analizar su entorno y llevar a cabo la evaluación de riesgos para determinar qué controles son necesarios. Para obtener más información sobre los requisitos, consulte ISO/IEC 27001.

Seguridad de las redes

La funcionalidad de seguridad de red descrita en esta sección puede ayudarle a cumplir los siguientes controles de seguridad especificados en el estándar ISO/IEC 27001.

  • 8.20: seguridad de red
  • 8.21: seguridad de los servicios de red
  • 8.22 : segregación de redes
  • 8.23: filtrado web

Con Azure Local, puede aplicar controles de seguridad de red para proteger la plataforma y las cargas de trabajo que se ejecutan en ella desde amenazas de red fuera y dentro. Azure Local también garantiza una asignación de red justa en un host y mejora el rendimiento y la disponibilidad de la carga de trabajo con funcionalidades de equilibrio de carga. Obtenga más información sobre la seguridad de red en Azure Local en los siguientes artículos.

Administración de identidades y acceso

La funcionalidad de administración de identidades y acceso que se describe en esta sección puede ayudarle a cumplir los siguientes controles de seguridad especificados en el estándar ISO/IEC 27001.

  • 8.2: Derechos de acceso con privilegios
  • 8.3: restricciones de acceso a la información
  • 8.5: autenticación segura

Azure Local proporciona acceso completo y directo al sistema subyacente que se ejecuta en máquinas a través de varias interfaces, como Azure Arc y Windows PowerShell. Puede usar herramientas convencionales de Windows en entornos locales o soluciones basadas en la nube, como Microsoft Entra ID (anteriormente Azure Active Directory) para administrar la identidad y el acceso a la plataforma. En ambos casos, puede aprovechar las características de seguridad integradas, como la autenticación multifactor (MFA), el acceso condicional, el control de acceso basado en rol (RBAC) y la administración de identidades con privilegios (PIM) para asegurarse de que el entorno sea seguro y compatible.

Obtenga más información sobre la administración de identidades y acceso locales en Microsoft Identity Manager y Privileged Access Management para Servicios de dominio de Active Directory. Obtenga más información sobre la administración de identidades y acceso basadas en la nube en Microsoft Entra ID.

Protección de los datos

La funcionalidad de protección de datos descrita en esta sección puede ayudarle a cumplir los siguientes controles de seguridad especificados en el estándar ISO/IEC 27001.

  • 8.5: autenticación segura
  • 8.20: seguridad de red
  • 8.21- Seguridad de los servicios de red
  • 8.24 : uso de criptografía

Cifrado de datos con BitLocker

En las instancias locales de Azure, todos los datos en reposo se pueden cifrar a través del cifrado XTS-AES de BitLocker de 256 bits. De forma predeterminada, el sistema recomienda habilitar BitLocker para cifrar todos los volúmenes del sistema operativo (SO) y los volúmenes compartidos de clúster (CSV) en la implementación de Azure Local. Para los nuevos volúmenes de almacenamiento agregados después de la implementación, debe activar manualmente BitLocker para cifrar el nuevo volumen de almacenamiento. El uso de BitLocker para proteger los datos puede ayudar a las organizaciones a mantener la conformidad con ISO/IEC 27001. Obtenga más información en Uso de BitLocker con volúmenes compartidos de clúster (CSV).

Protección del tráfico de red externo con TLS/DTLS

De forma predeterminada, todas las comunicaciones de host a puntos de conexión locales y remotos se cifran mediante TLS1.2, TLS1.3 y DTLS 1.2. La plataforma deshabilita el uso de protocolos o hash anteriores, como TLS/DTLS 1.1 SMB1. Azure Local también admite conjuntos de cifrado seguros, como curvas elípticas compatibles con SDL limitadas a curvas NIST P-256 y P-384 solo.

Protección del tráfico de red interno con el bloque de mensajes del servidor (SMB)

La firma SMB está habilitada de forma predeterminada para las conexiones de cliente en instancias locales de Azure. Para el tráfico dentro del clúster, el cifrado SMB es una opción que las organizaciones pueden habilitar durante o después de la implementación para proteger los datos en tránsito entre sistemas. Los conjuntos criptográficos AES-256-GCM y AES-256-CCM ahora son compatibles con el protocolo SMB 3.1.1 utilizado por el tráfico de archivos del servidor cliente y el tejido de datos dentro del clúster. El protocolo sigue admitiendo también el conjunto de aplicaciones AES-128 más ampliamente compatibles. Obtenga más información en Mejoras de seguridad de SMB.

Registro

La funcionalidad de registro descrita en esta sección puede ayudarle a cumplir los siguientes controles de seguridad especificados en el estándar ISO/IEC 27001.

  • 8.15 : registro
  • 8.17: sincronización del reloj

Registros del sistema local

De forma predeterminada, todas las operaciones que se realizan en la instancia local de Azure se registran para que pueda realizar un seguimiento de quién hizo qué, cuándo y dónde se encuentra en la plataforma. También se incluyen registros y alertas creados por Windows Defender para ayudarte a evitar, detectar y minimizar la probabilidad y el impacto de un riesgo de datos. Sin embargo, dado que el registro del sistema a menudo contiene un gran volumen de información, gran parte de ella es extraño a la supervisión de la seguridad de la información, debe identificar qué eventos son relevantes para recopilarse y utilizarse con fines de supervisión de seguridad. Las funcionalidades de supervisión de Azure ayudan a recopilar, almacenar, alertar y analizar esos registros. Consulte la línea de base de seguridad de Azure Local para obtener más información.

Registros de actividad local

Azure Local Lifecycle Manager crea y almacena registros de actividad para cualquier plan de acción ejecutado. Estos registros admiten una investigación y supervisión más profundas.

Registros de actividad en la nube

Al registrar los sistemas con Azure, puede usar los registros de actividad de Azure Monitor para registrar las operaciones en cada recurso en el nivel de suscripción para determinar qué, quién y cuándo para las operaciones de escritura (poner, publicar o eliminar) tomadas en los recursos de la suscripción.

Registros de identidad en la nube

Si usa microsoft Entra ID para administrar la identidad y el acceso a la plataforma, puede ver los registros en los informes de Azure AD o integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM o supervisión para sofisticados casos de uso de supervisión y análisis. Si usa Active Directory local, use la solución Microsoft Defender for Identity para consumir las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización.

Integración de SIEM

Microsoft Defender for Cloud y Microsoft Sentinel se integran de forma nativa con máquinas locales de Azure habilitadas para Arc. Puede habilitar e incorporar los registros a Microsoft Sentinel, que proporciona la administración de eventos de información de seguridad (SIEM) y la funcionalidad de respuesta automatizada de orquestación de seguridad (SOAR). Microsoft Sentinel, al igual que otros servicios en la nube de Azure, también cumple con muchos estándares de seguridad bien establecidos, como ISO/IEC 27001, que pueden ayudarle con el proceso de certificación. Además, Azure Local proporciona un reenviador de eventos syslog nativo para enviar los eventos del sistema a las soluciones SIEM de terceros.

Supervisión

La funcionalidad de supervisión descrita en esta sección puede ayudarle a cumplir los siguientes controles de seguridad especificados en el estándar ISO/IEC 27001.

  • 8.15 : registro

Insights para Azure Local

Insights para Azure Local le permite supervisar la información de mantenimiento, rendimiento y uso de los sistemas conectados a Azure y que están inscritos en la supervisión. Durante la configuración de Insights, se crea una regla de recopilación de datos, que especifica los datos que se van a recopilar. Estos datos se almacenan en un área de trabajo de Log Analytics, que luego se agrega, filtra y analiza para proporcionar paneles de supervisión precompilados mediante libros de Azure. Puede ver los datos de supervisión de los sistemas de nodo único y de varios nodos desde la página de recursos local de Azure o Azure Monitor. Obtenga más información en Supervisión de Azure Local with Insights.

Métricas para Azure Local

Las métricas de Azure Local almacenan datos numéricos de recursos supervisados en una base de datos de serie temporal. Puede usar el explorador de métricas de Azure Monitor para analizar interactivamente los datos de la base de datos de métricas y trazar los valores de varias métricas a lo largo del tiempo. Con Las métricas, puede crear gráficos a partir de valores de métricas y correlacionar visualmente las tendencias.

Alertas de registro

Para indicar problemas en tiempo real, configure alertas para Azure Local mediante consultas de registro de ejemplo preexistentes, como la CPU media del servidor, la memoria disponible, la capacidad de volumen disponible y mucho más. Obtenga más información en Configuración de alertas para sistemas locales de Azure.

Alertas de métricas

Una regla de alertas de métrica supervisa un recurso mediante la evaluación de las condiciones de las métricas de recursos a intervalos regulares. Si se cumplen las condiciones, se desencadena una alerta. Una serie temporal de métricas es una serie de valores de métricas capturados durante un período de tiempo. Puede usar estas métricas para crear reglas de alerta. Obtenga más información sobre cómo crear alertas de métricas en Alertas de métricas.

Alertas de servicio y dispositivo

Azure Local proporciona alertas basadas en servicios para la conectividad, las actualizaciones del sistema operativo, la configuración de Azure y mucho más. También hay disponibles alertas basadas en dispositivos para errores de estado del clúster. También puede supervisar instancias locales de Azure y sus componentes subyacentes mediante PowerShell o Servicio de mantenimiento.

Configuración segura

La funcionalidad de configuración segura descrita en esta sección puede ayudarle a cumplir los siguientes requisitos de control de seguridad de ISO/IEC 27001.

  • 8.8: Administración de vulnerabilidades técnicas
  • 8.9: administración de configuración

Seguro de forma predeterminada

Azure Local se configura de forma segura de forma predeterminada con las herramientas y tecnologías de seguridad que se defienden de las amenazas modernas y se alinean con las líneas base de Seguridad de proceso de Azure. Obtenga más información en Administración de valores predeterminados de seguridad para Azure Local.

Protección contra desfase

La configuración de seguridad predeterminada y la configuración de núcleo protegido de la plataforma están protegidas durante la implementación y el tiempo de ejecución con protección de control de desfase. Cuando se habilita, la protección de control de desfase actualiza la configuración de seguridad periódicamente cada 90 minutos para asegurarse de que se corrija cualquier cambio del estado especificado. Esta supervisión continua y la corrección automática le permiten tener una configuración de seguridad coherente y confiable a lo largo del ciclo de vida del dispositivo. Puede deshabilitar la protección contra desfase durante la implementación al configurar las opciones de seguridad.

Línea base de seguridad para la carga de trabajo

En el caso de las cargas de trabajo que se ejecutan en Azure Local, puede usar la línea base del sistema operativo recomendada de Azure (para Windows y Linux) como prueba comparativa para definir la línea base de configuración de recursos de proceso.

Actualización de plataforma

Todos los componentes de Azure Local, incluido el sistema operativo, los agentes principales y los servicios, y la extensión de solución, se pueden mantener fácilmente con Lifecycle Manager. Esta característica permite agrupar distintos componentes en una versión de actualización y valida la combinación de versiones para garantizar la interoperabilidad. Obtenga más información en Lifecycle Manager para actualizaciones de soluciones locales de Azure.

Esta solución de actualización no cubre las cargas de trabajo del cliente.

Protección contra amenazas

La funcionalidad de protección contra amenazas de esta sección puede ayudarle a cumplir los siguientes requisitos de control de seguridad de ISO/IEC 27001.

  • 8.7 : protección contra malware

Antivirus de Windows Defender

Antivirus de Windows Defender es una aplicación de utilidad que proporciona la capacidad de aplicar el examen del sistema en tiempo real y el examen periódico para proteger la plataforma y las cargas de trabajo contra virus, malware, spyware y otras amenazas. De forma predeterminada, Antivirus de Microsoft Defender está habilitado en Azure Local. Microsoft recomienda usar Antivirus de Microsoft Defender con Azure Local en lugar de software y servicios de detección de malware y antivirus de terceros, ya que pueden afectar a la capacidad del sistema operativo para recibir actualizaciones. Obtenga más información en Antivirus de Microsoft Defender en Windows Server.

Control de aplicaciones de Windows Defender (WDAC)

El Control de aplicaciones de Windows Defender (WDAC) está habilitado de forma predeterminada en Azure Local para controlar qué controladores y aplicaciones pueden ejecutarse directamente en cada máquina, lo que ayuda a evitar que el malware acceda a los sistemas. Obtenga más información sobre las directivas base incluidas en Azure Local y cómo crear directivas complementarias en Control de aplicaciones de Windows Defender para Azure Local.

Microsoft Defender for Cloud

Microsoft Defender for Cloud con Endpoint Protection (habilitado a través del plan defender para servidores) proporciona una solución de administración de seguridad con funcionalidades avanzadas de protección contra amenazas. Proporciona herramientas para evaluar el estado de seguridad de la infraestructura, proteger las cargas de trabajo, generar alertas de seguridad y seguir recomendaciones específicas para corregir ataques y abordar amenazas futuras. Realiza todos estos servicios a alta velocidad en la nube sin sobrecarga de implementación mediante el aprovisionamiento automático y la protección con los servicios de Azure. Obtenga más información en Microsoft Defender for Cloud.

Copia de seguridad y recuperación

La funcionalidad de copia de seguridad y recuperación descrita en esta sección puede ayudarle a cumplir los siguientes requisitos de control de seguridad de ISO/IEC 27001.

  • 8.7 : protección contra malware
  • 8.13: Copia de seguridad de la información
  • 8.14: redundancia de información

Clúster extendido

Azure Local proporciona compatibilidad integrada para la recuperación ante desastres de cargas de trabajo virtualizadas a través de clústeres extendidos. Al implementar una instancia local de Azure expandida, puede replicar de forma sincrónica sus cargas de trabajo virtualizadas en dos ubicaciones locales independientes y la conmutación por error automática entre ellas. Las conmutaciones por error de sitio planeadas pueden producirse sin tiempo de inactividad mediante la migración en vivo de Hyper-V.

Nodos de clúster de Kubernetes

Si usa Azure Local para hospedar implementaciones basadas en contenedores, la plataforma le ayuda a mejorar la agilidad y la resistencia inherentes a las implementaciones de Azure Kubernetes. Azure Local administra la conmutación automática por error de las máquinas virtuales que actúan como nodos de clúster de Kubernetes si se produce un error localizado de los componentes físicos subyacentes. Esta configuración complementa la alta disponibilidad integrada en Kubernetes, que reinicia automáticamente los contenedores con errores en la misma máquina virtual o en otra.

Azure Site Recovery

Este servicio permite replicar cargas de trabajo que se ejecutan en las máquinas virtuales locales de Azure Local en la nube para que el sistema de información se pueda restaurar si se produce un incidente, un error o una pérdida de medios de almacenamiento. Al igual que otros servicios en la nube de Azure, Azure Site Recovery tiene un largo historial de certificados de seguridad, como HITRUST, que puede usar para admitir el proceso de acreditación. Obtenga más información en Protección de cargas de trabajo de máquina virtual con Azure Site Recovery en Azure Local.

Microsoft Azure Backup Server (MABS)

Este servicio le permite realizar copias de seguridad de máquinas virtuales locales de Azure, especificando una frecuencia deseada y un período de retención. Puede usar MABS para realizar copias de seguridad de la mayoría de los recursos en todo el entorno, entre los que se incluyen:

  • Estado del sistema/recuperación sin sistema (BMR) del host local de Azure
  • Máquinas virtuales invitadas en un sistema que tiene almacenamiento local o conectado directamente
  • Máquinas virtuales invitadas en instancias locales de Azure con almacenamiento CSV
  • Movimiento de máquina virtual dentro de un clúster

Obtenga más información en Copia de seguridad de máquinas virtuales locales de Azure con Azure Backup Server.

Escalabilidad y disponibilidad

La funcionalidad de escalabilidad y disponibilidad que se describe en esta sección puede ayudarle a cumplir los siguientes requisitos de control de seguridad de ISO/IEC 27001.

  • 8.6: Administración de capacidad
  • 8.14: redundancia de información

Modelos hiperconvergidos

Azure Local usa modelos hiperconvergidos de Espacios de almacenamiento directo para implementar cargas de trabajo. Este modelo de implementación permite escalar fácilmente agregando nuevos nodos que expanden automáticamente el proceso y el almacenamiento al mismo tiempo sin tiempo de inactividad.

Clústeres de conmutación por error

Las instancias locales de Azure son clústeres de conmutación por error. Si se produce un error en un servidor que forma parte de Azure Local o deja de estar disponible, otro servidor del mismo clúster de conmutación por error toma el control de la tarea de proporcionar los servicios ofrecidos por el nodo con errores. Para crear un clúster de conmutación por error, habilite Espacios de almacenamiento directamente en varias máquinas que ejecutan Azure Local.