Controles de cumplimiento normativo de Azure Policy para Azure SQL Database y SQL Managed Instance
Se aplica a: 
Azure SQL Database Azure SQL Managed Instance
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas de Microsoft, conocidas como integradas, para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure SQL Database y SQL Managed Instance. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
Australian Government ISM PROTECTED
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Instrucciones para la administración de sistemas: revisión de sistemas | 940 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 940 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 940 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1144 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1144 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1144 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos | 1260 | Cuentas de administrador de base de datos: 1260 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos | 1261 | Cuentas de administrador de base de datos: 1261 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos | 1262 | Cuentas de administrador de base de datos: 1262 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos | 1263 | Cuentas de administrador de base de datos: 1263 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos | 1264 | Cuentas de administrador de base de datos: 1264 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Instrucciones para los sistemas de base de datos: servidores de bases de datos | 1425 | Protección del contenido del servidor de bases de datos: 1425 | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1472 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1472 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1472 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1494 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1494 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1494 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1495 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1495 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1495 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1496 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1496 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1496 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Instrucciones para la supervisión del sistema: registro de eventos y auditoría | 1537 | Eventos que se registrarán: 1537 | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Instrucciones para la supervisión del sistema: registro de eventos y auditoría | 1537 | Eventos que se registrarán: 1537 | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
Canada Federal PBMM
Para revisar cómo las integraciones de Azure Policy disponibles de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.14 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado". | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 2 Security Center | 2.15 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado". | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| 4 Servicios de base de datos | 4,1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| 4 Servicios de base de datos | 4,2 | Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente. | La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas | 1.0.0 |
| 4 Servicios de base de datos | 4.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que "Advanced Data Security" en un servidor SQL Server esté establecido en "Activado". | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que "Advanced Data Security" en un servidor SQL Server esté establecido en "Activado". | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| 4 Servicios de base de datos | 4.8 | Asegúrese de que el administrador de Azure Active Directory está configurado. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| 4 Servicios de base de datos | 4,9 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| 4 Servicios de base de datos | 4.2.1 | Asegúrese de que la protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado". | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| 4 Servicios de base de datos | 4.2.1 | Asegúrese de que la protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado". | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que el administrador de Azure Active Directory está configurado. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| 4 Servicios de base de datos | 4.2.1 | Asegurarse de que la Protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado" | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| 4 Servicios de base de datos | 4.2.1 | Asegurarse de que la Protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado" | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el administrador de Azure Active Directory está configurado. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 4,1 | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 4,1 | 4.1.2 | Asegúrese de que ninguna instancia de Azure SQL Databases permita la entrada 0.0.0.0/0 (cualquier IP) | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| 4,1 | 4.1.4 | Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| 4,1 | 4.1.5 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| 4,1 | 4.1.6 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| 4.2 | 4.2.1 | Asegúrese de que Microsoft Defender para SQL esté establecido en "Activado" para SQL Servers críticos | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| 4.2 | 4.2.1 | Asegúrese de que Microsoft Defender para SQL esté establecido en "Activado" para SQL Servers críticos | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| 4,2 | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 4,2 | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| 4,2 | 4.2.3 | Asegúrese de que la configuración de la valoración de vulnerabilidad (VA) "Exámenes periódicos" esté establecida en "activado" para cada servidor SQL | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 4,2 | 4.2.4 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar informes de examen a" esté establecida para un servidor SQL | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| 4,2 | 4.2.5 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| 4,2 | 4.2.5 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de la seguridad | CA.2.158 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Evaluación de la seguridad | CA.2.158 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de la seguridad | CA.2.158 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Evaluación de la seguridad | CA.3.161 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Evaluación de la seguridad | CA.3.161 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de la seguridad | CA.3.161 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Recuperación | RE.2.137 | Ejecuta y prueba periódicamente copias de seguridad de los datos. | La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | 2.0.0 |
| Recuperación | RE.3.139 | Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. | La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | 2.0.0 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.191 | Protege la confidencialidad de CUI en reposo. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Protección del sistema y de las comunicaciones | SC.3.191 | Protege la confidencialidad de CUI en reposo. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC.3.191 | Protege la confidencialidad de CUI en reposo. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| 07 Administración de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| 07 Administración de vulnerabilidades | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Protección de red | 0805.01m1Organizational.12-01 - 01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | SQL Server debe usar un punto de conexión del servicio de red virtual | 1.0.0 |
| Protección de red | 0806.01m2Organizational.12356-01 - 01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | SQL Server debe usar un punto de conexión del servicio de red virtual | 1.0.0 |
| Protección de red | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Administración de seguridad de red | SQL Server debe usar un punto de conexión del servicio de red virtual | 1.0.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | SQL Server debe usar un punto de conexión del servicio de red virtual | 1.0.0 |
| 12 Registros de auditoría y Supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Copia de seguridad de la información | La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | 2.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Copia de seguridad de la información | La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | 2.0.0 |
IRS 1075, septiembre de 2016
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 9.3.1.2 | Administración de cuentas (AC-2) | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Evaluación de riesgos | 9.3.14.3 | Examen de vulnerabilidades (RA-5) | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | 9.3.14.3 | Examen de vulnerabilidades (RA-5) | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | 9.3.14.3 | Examen de vulnerabilidades (RA-5) | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Protección del sistema y de las comunicaciones | 9.3.16.15 | Protección de la información en reposo (SC-28) | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Protección del sistema y de las comunicaciones | 9.3.16.15 | Protección de la información en reposo (SC-28) | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Protección del sistema y de las comunicaciones | 9.3.16.15 | Protección de la información en reposo (SC-28) | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Integridad del sistema y de la información | 9.3.17.2 | Corrección de errores (SI-2) | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Integridad del sistema y de la información | 9.3.17.4 | Supervisión del sistema de información (SI-4) | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Integridad del sistema y de la información | 9.3.17.4 | Supervisión del sistema de información (SI-4) | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Conocimiento y aprendizaje | 9.3.3.11 | Generación de auditoría (AU-12) | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Conocimiento y aprendizaje | 9.3.3.11 | Generación de auditoría (AU-12) | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Conocimiento y aprendizaje | 9.3.3.11 | Generación de auditoría (AU-12) | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Conocimiento y aprendizaje | 9.3.3.5 | Respuesta a errores de procesamiento de auditoría (AU-5) | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Conocimiento y aprendizaje | 9.3.3.5 | Respuesta a errores de procesamiento de auditoría (AU-5) | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Conocimiento y aprendizaje | 9.3.3.5 | Respuesta a errores de procesamiento de auditoría (AU-5) | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
ISO 27001:2013
Si desea ver la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Seguridad de las operaciones | 12.4.4 | Sincronización del reloj | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Administración de recursos | 8.2.1 | Clasificación de la información | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para obtener más información sobre este estándar de cumplimiento, consulte la cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.3: Claves administradas por el cliente | SO.3 | Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| SO.3: Claves administradas por el cliente | SO.3 | Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | 1.0.0 |
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Azure SQL Database debe tener habilitada solo la autenticación de Microsoft Entra | 1.0.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Azure SQL Database debe tener habilitada la autenticación solo de Microsoft Entra durante la creación | 1.2.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Azure SQL Managed Instance debe tener habilitada solo la autenticación de Microsoft Entra | 1.0.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Las instancias administradas de Azure SQL deben tener habilitada la autenticación solo de Microsoft Entra durante la creación | 1.2.0 |
| Administración de identidades | IM-4 | Autenticación de servidores y servicios | Azure SQL Database should be running TLS version 1.2 or newer | 2.0.0 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Azure SQL Database should be running TLS version 1.2 or newer | 2.0.0 |
| Protección de datos | DP-4 | Habilitación del cifrado de datos en reposo de manera predeterminada | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Protección de datos | DP-5 | Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| Protección de datos | DP-5 | Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| registro y detección de amenazas | LT-3 | Habilitación del registro para la investigación de seguridad | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| registro y detección de amenazas | LT-6 | Configuración de la retención del almacenamiento de registros | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| administración de posturas y vulnerabilidades | PV-5 | Realización de evaluaciones de vulnerabilidades | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| administración de posturas y vulnerabilidades | PV-5 | Realización de evaluaciones de vulnerabilidades | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| administración de posturas y vulnerabilidades | PV-6 | Reparación rápida y automática de vulnerabilidades | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Control de acceso | 3.1.13 | Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Control de acceso | 3.1.14 | Enruta el acceso remoto a través de puntos de control de acceso administrados. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Identificación y autenticación | 3.5.5 | Evite la reutilización de identificadores durante un período definido. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Identificación y autenticación | 3.5.6 | Deshabilitar los identificadores después de un período definido de inactividad. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| C.04.8 Administración técnica de vulnerabilidades: evaluada | C.04.8 | Los informes de evaluación contienen sugerencias para mejorar y se comunican con administradores o propietarios. | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Azure SQL Database should be running TLS version 1.2 or newer | 2.0.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán según el estado más reciente del arte. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán según el estado más reciente del arte. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán según el estado más reciente del arte. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | 1.0.0 |
| U.07.1 Separación de datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Separación de datos de U.07.3: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| U.11.2 Criptoservicios: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 |
| U.15.3 Registro y supervisión: eventos registrados | U.15.3 | CSP mantiene una lista de todos los recursos que son críticos en términos de registro y supervisión y revisa esta lista. | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
PCI DSS 3.2.1
Para revisar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte PCI DSS 3.2.1. Para más información sobre este estándar de cumplimiento, consulte PCI DSS 3.2.1.
PCI DSS v4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy de PCI DSS v4.0. Para más información sobre este estándar de cumplimiento, vea PCI DSS v4.0.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.3 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.4 | El software personalizado y a medida se desarrolla de forma segura | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.3 | Las vulnerabilidades de seguridad se identifican y se abordan | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.1 | Las aplicaciones web de acceso público están protegidas contra ataques | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.1 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración o control de acceso de usuarios | Administración o control de acceso de usuarios-8.2 | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas. | 2.0.1 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | 1.0.2 | |
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.7 | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 | |
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.7 | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 | |
| Impedir la ejecución de software no autorizado | Administración de la actualización de seguridad-2.3 | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 | |
| Métricas | Métricas-21.1 | Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.0 | |
| Métricas | Métricas-21.1 | Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | 2.0.1 | |
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.4 | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 | |
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.1 | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 | |
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.1 | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | 1.1.0 |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | SQL Server debe usar un punto de conexión del servicio de red virtual | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | 1.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Azure SQL Database should be running TLS version 1.2 or newer | 2.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | SQL Managed Instance debe tener la versión mínima de TLS 1.2 | 1.0.1 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | 2.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Confidencialidad e integridad de la sesión del operador | Azure SQL Database should be running TLS version 1.2 or newer | 2.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Confidencialidad e integridad de la sesión del operador | SQL Managed Instance debe tener la versión mínima de TLS 1.2 | 1.0.1 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | 4.1.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | 1.0.1 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | 3.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Integridad de la base de datos | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Integridad de la base de datos | Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | 1.1.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Integridad de la base de datos | Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | 3.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Integridad de la base de datos | El cifrado de datos transparente en bases de datos SQL debe estar habilitado | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | La auditoría de SQL Server debe estar habilitada | 2.0.0 |
UK OFFICIAL y UK NHS
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte UK OFFICIAL.
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.