Compartir a través de


Base de referencia de seguridad de Azure para Data Lake Analytics

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Data Lake Analytics. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Data Lake Analytics.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Data Lake Analytics. Para ver cómo Data Lake Analytics se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Data Lake Analytics.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Data Lake Analytics, lo que puede dar lugar a un aumento de las consideraciones de seguridad.

Atributo de comportamiento del servicio Value
Categoría de productos Análisis
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena el contenido del cliente en reposo False

Seguridad de red

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL ip de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.

Administración de identidades

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de Administración locales

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Protección de los datos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Administración de recursos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar la configuración segura en los recursos de Azure.

Referencia: Azure Policy definiciones integradas para Azure Data Lake Analytics

Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes