Compartir a través de


Recomendaciones de seguridad de proceso

En este artículo se enumeran todas las recomendaciones de seguridad de proceso multinube que puede ver en Microsoft Defender for Cloud.

Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.

Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.

Sugerencia

Si una descripción de recomendación indica No hay ninguna directiva relacionada, normalmente es porque esa recomendación depende de otra recomendación.

Por ejemplo, se deben corregir los errores de estado de Endpoint Protection en función de la recomendación que comprueba si se instala una solución de Endpoint Protection (se debe instalar la solución Endpoint Protection). La recomendación subyacente tiene una directiva. La limitación de directivas solo a recomendaciones fundamentales simplifica la administración de directivas.

Recomendaciones de proceso de Azure

Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)

Descripción: las máquinas faltan en el sistema, la seguridad y las actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección.

Gravedad: baja

Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema

Descripción: para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Obtenga más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.

Gravedad: baja

Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas

Descripción: habilite los controles de aplicación para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas y avisarle cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Defender for Cloud usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. (Directiva relacionada: Los controles de aplicación adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas.

Gravedad: alta

Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables

Descripción: supervise los cambios en el comportamiento en grupos de máquinas configuradas para la auditoría por parte de los controles de aplicaciones adaptables de Defender for Cloud. Defender for Cloud usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. (Directiva relacionada: Se deben actualizar las reglas de lista de permitidos de la directiva de control de aplicaciones adaptables).

Gravedad: alta

La autenticación en máquinas Linux debe requerir claves SSH.

Descripción: aunque SSH proporciona una conexión cifrada, el uso de contraseñas con SSH sigue dejando la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información en Pasos rápidos: Creación y uso de un par de claves pública-privada SSH para máquinas virtuales Linux en Azure (Directiva relacionada: Audite las máquinas Linux que no usan la clave SSH para la autenticación).

Gravedad: media

Las variables de cuenta de Automation deben cifrarse

Descripción: es importante habilitar el cifrado de los recursos de variables de cuenta de Automation al almacenar datos confidenciales. (Directiva relacionada: Las variables de cuenta de Automation deben cifrarse).

Gravedad: alta

Azure Backup debería habilitarse en las máquinas virtuales

Descripción: proteja los datos de las máquinas virtuales de Azure con Azure Backup. Azure Backup es una solución de protección de datos rentable y nativa de Azure. Crea puntos de recuperación que se almacenan en almacenes de recuperación con redundancia geográfica. Cuando se realiza una restauración desde un punto de recuperación, se puede restaurar toda la máquina virtual o determinados archivos. (Directiva relacionada: Azure Backup debe estar habilitado para Virtual Machines.

Gravedad: baja

(Versión preliminar) Los servidores de Azure Stack HCI deben cumplir los requisitos de núcleos protegidos

Descripción: asegúrese de que todos los servidores de Azure Stack HCI cumplen los requisitos de núcleos protegidos. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: baja

(Versión preliminar) Los servidores de Azure Stack HCI deben tener directivas de control de aplicaciones aplicadas de forma coherente

Descripción: como mínimo, aplique la directiva base WDAC de Microsoft en modo aplicado en todos los servidores de Azure Stack HCI. Las directivas de Control de aplicaciones de Windows Defender (WDAC) aplicadas deben ser coherentes entre los servidores del mismo clúster. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: alta

(Versión preliminar) Los sistemas de Azure Stack HCI deben tener volúmenes cifrados

Descripción: use BitLocker para cifrar los volúmenes de datos y del sistema operativo en sistemas de Azure Stack HCI. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: alta

- Los hosts de contenedor deben configurarse de forma segura.

Descripción: corrija las vulnerabilidades en las opciones de configuración de seguridad de las máquinas con Docker instaladas para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de las configuraciones de seguridad del contenedor).

Gravedad: alta

Se deben habilitar los registros de diagnóstico en Azure Stream Analytics

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Azure Stream Analytics deben estar habilitados).

Gravedad: baja

Se deben habilitar los registros de diagnóstico en las cuentas de Batch

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de las cuentas de Batch deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico de Event Hubs deben estar habilitados

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Event Hubs deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico de Logic Apps deben estar habilitados

Descripción: para asegurarse de que puede volver a crear pistas de actividad con fines de investigación cuando se produce un incidente de seguridad o la red está en peligro, habilite el registro. Si los registros de diagnóstico no se envían a un área de trabajo de Log Analytics, una cuenta de Azure Storage o Azure Event Hubs, asegúrese de que ha configurado la configuración de diagnóstico para enviar métricas de plataforma y registros de plataforma a los destinos pertinentes. Más información en Creación de una configuración de diagnóstico para enviar los registros y las métricas de la plataforma a diferentes destinos. (Directiva relacionada: Los registros de diagnóstico de Logic Apps deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico en Service Bus deben estar habilitados

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Service Bus deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de virtual Machine Scale Sets deben estar habilitados).

Gravedad: alta

Los problemas de configuración de EDR deben resolverse en las máquinas virtuales

Descripción: para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión habilitado.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: baja

La solución EDR debe instalarse en Virtual Machines

Descripción: la instalación de una solución de detección y respuesta de puntos de conexión (EDR) en máquinas virtuales es importante para la protección contra amenazas avanzadas. Los EDR ayudan a prevenir, detectar, investigar y responder a estas amenazas. Microsoft Defender para servidores se puede usar para implementar Microsoft Defender para punto de conexión.

  • Si un recurso se clasifica como "Incorrecto", indica la ausencia de una solución de EDR admitida.
  • Si esta recomendación instala una solución EDR, pero no se puede detectar, se puede excluir.
  • Sin una solución EDR, las máquinas virtuales corren el riesgo de amenazas avanzadas.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: alta

Deben resolverse los problemas de estado de Endpoint Protection en los conjuntos de escalado de máquinas virtuales.

Descripción: en los conjuntos de escalado de máquinas virtuales, corrija los errores de mantenimiento de Endpoint Protection para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: La solución Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales).

Gravedad: baja

Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales.

Descripción: instale una solución de Endpoint Protection en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: La solución Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales).

Gravedad: alta

La supervisión de la integridad de los archivos debe estar habilitada en las máquinas

Descripción: Defender for Cloud ha identificado las máquinas que faltan en una solución de supervisión de integridad de archivos. Para supervisar los cambios en archivos críticos, claves del registro, etc. en los servidores, habilite la supervisión de la integridad de los archivos. Cuando la solución de supervisión de la integridad de los archivos está habilitada, cree reglas de recopilación de datos para definir los archivos que se van a supervisar. Para definir reglas o ver los archivos cambiados en las máquinas con reglas existentes, vaya a la página de administración de supervisión de la integridad de los archivos. (Ninguna directiva relacionada)

Gravedad: alta

La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Linux admitidos

Descripción: instale la extensión de atestación de invitado en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux

Descripción: instale la extensión de atestación de invitado en máquinas virtuales Linux compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Windows admitidos

Descripción: instale la extensión de atestación de invitado en conjuntos de escalado de máquinas virtuales compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows

Descripción: instale la extensión de atestación de invitado en máquinas virtuales compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad de arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

La extensión de configuración de invitado debe instalarse en las máquinas.

Descripción: para garantizar configuraciones seguras de la configuración en invitado de la máquina, instale la extensión Configuración de invitado. La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas en invitado estarán disponibles, como Protección contra vulnerabilidades de seguridad de Windows, debe estar habilitada. (Directiva relacionada: Las máquinas virtuales deben tener la extensión De configuración de invitado).

Gravedad: media

(Versión preliminar) Las redes de VM y host deben protegerse en los sistemas de Azure Stack HCI

Descripción: proteja los datos en la red del host de Azure Stack HCI y en las conexiones de red de máquinas virtuales. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: baja

Instalar una solución de protección de punto de conexión en máquinas virtuales

Descripción: instale una solución de Endpoint Protection en las máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: Supervise la falta de Endpoint Protection en Azure Security Center.

Gravedad: alta

Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite Introducción a las opciones de cifrado de discos administrados para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más información, visite Descripción de la configuración de Azure Machine. (Directiva relacionada: [Versión preliminar]: las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost).

Reemplaza las máquinas virtuales de recomendación anteriores deben cifrar los discos temporales, las memorias caché y los flujos de datos entre los recursos de proceso y almacenamiento. La recomendación le permite auditar el cumplimiento del cifrado de máquinas virtuales.

Gravedad: alta

Las máquinas virtuales Linux deben exigir la validación de la firma del módulo de kernel

Descripción: para ayudar a mitigar la ejecución de código malintencionado o no autorizado en modo kernel, aplique la validación de firmas del módulo kernel en máquinas virtuales Linux compatibles. La validación de la firma del módulo de kernel garantiza que solo se permita la ejecución de módulos de kernel de confianza. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas virtuales Linux solo deben usar componentes de arranque firmados y de confianza

Descripción: con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas virtuales Linux deben usar el arranque seguro

Descripción: para protegerse frente a la instalación de rootkits y kits de arranque basados en malware, habilite el arranque seguro en máquinas virtuales Linux compatibles. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

El agente de Log Analytics debe instalarse en las máquinas basadas en Linux habilitadas para Azure Arc.

Descripción: Defender for Cloud usa el agente de Log Analytics (también conocido como OMS) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

A medida que el uso de AMA y MMA se elimina gradualmente en Defender for Servers, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024

El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales.

Descripción: Defender for Cloud recopila datos de las máquinas virtuales (VM) de Azure para supervisar las vulnerabilidades de seguridad y las amenazas. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos. También tendrá que realizar ese procedimiento si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. No se puede configurar el aprovisionamiento automático del agente para los conjuntos de escalado de máquinas virtuales de Azure. Para implementar el agente en los conjuntos de escalado de máquinas virtuales (incluidos los que se usan en los servicios administrados de Azure, como Azure Kubernetes Service y Azure Service Fabric), siga el procedimiento descrito en los pasos de corrección. (Directiva relacionada: El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales para la supervisión de Azure Security Center.

A medida que el uso de AMA y MMA se elimina gradualmente en Defender for Servers, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024

Gravedad: alta

El agente de Log Analytics debe instalarse en las máquinas virtuales.

Descripción: Defender for Cloud recopila datos de las máquinas virtuales (VM) de Azure para supervisar las vulnerabilidades de seguridad y las amenazas. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo de Log Analytics para analizarlos. Este agente también es necesario si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. Se recomienda configurar el aprovisionamiento automático para que implemente el agente automáticamente. Si decida no usar el aprovisionamiento automático, implemente el agente de forma manual en sus máquinas virtuales y, para hacerlo, siga las instrucciones de los pasos para la corrección. (Directiva relacionada: El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center.

A medida que el uso de AMA y MMA se elimina gradualmente en Defender for Servers, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024

Gravedad: alta

El agente de Log Analytics debe instalarse en las máquinas basadas en Windows habilitadas para Azure Arc.

Descripción: Defender for Cloud usa el agente de Log Analytics (también conocido como MMA) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

A medida que el uso de AMA y MMA se elimina gradualmente en Defender for Servers, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024

Las máquinas deben configurarse de forma segura.

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas).

Esta recomendación le ayuda a mejorar la posición de seguridad del servidor. Defender for Cloud mejora los puntos de referencia del Centro de seguridad de Internet (CIS) al proporcionar líneas base de seguridad que funcionan con Administración de vulnerabilidades de Microsoft Defender. Más información.

Gravedad: baja

Las máquinas deben reiniciarse para aplicar actualizaciones de configuración de seguridad

Descripción: para aplicar actualizaciones de configuración de seguridad y protegerse frente a vulnerabilidades, reinicie las máquinas. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas deben tener una solución de evaluación de vulnerabilidades.

Descripción: Defender for Cloud comprueba periódicamente las máquinas conectadas para asegurarse de que ejecutan herramientas de evaluación de vulnerabilidades. Use esta recomendación para implementar una solución de evaluación de vulnerabilidades. (Directiva relacionada: Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales.

Gravedad: media

Las máquinas deben tener resueltos los resultados de vulnerabilidades.

Descripción: resuelva los resultados de las soluciones de evaluación de vulnerabilidades en las máquinas virtuales. (Directiva relacionada: Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales.

Gravedad: baja

Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.

Descripción: Defender for Cloud ha identificado algunas reglas de entrada excesivamente permisivas para los puertos de administración en el grupo de seguridad de red. Habilite el control de acceso Just-in-Time para proteger la máquina virtual frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información en Descripción del acceso a la máquina virtual Just-in-Time (JIT) (Directiva relacionada: Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time).

Gravedad: alta

Microsoft Defender para servidores debe estar habilitado

Descripción: Microsoft Defender para servidores proporciona protección contra amenazas en tiempo real para las cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta información se puede usar para corregir problemas de seguridad y mejorar la seguridad de los servidores rápidamente.

la corrección de esta recomendación dará lugar a cargos por la protección de los servidores. Si no tiene ningún servidor en esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de servidores en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información en Introducción a Microsoft Defender para servidores. (Directiva relacionada: Azure Defender para servidores debe estar habilitado).

Gravedad: alta

Se debe habilitar Microsoft Defender para servidores en las áreas de trabajo

Descripción: Microsoft Defender para servidores ofrece detección de amenazas y defensas avanzadas para las máquinas Windows y Linux. Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas. Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para los servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para los servidores de la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure. Más información en Introducción a Microsoft Defender para servidores. (Ninguna directiva relacionada)

Gravedad: media

El arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas

Descripción: habilite el arranque seguro en máquinas virtuales Windows compatibles para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque, kernel y controladores de kernel de confianza. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric

Descripción: Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. (Directiva relacionada: Los clústeres de Service Fabric deben tener la propiedad ClusterProtectionLevel establecida en EncryptAndSign).

Gravedad: alta

Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente

Descripción: Realice la autenticación de cliente solo a través de Azure Active Directory en Service Fabric (directiva relacionada: los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente).

Gravedad: alta

Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales

Descripción: instale las actualizaciones críticas y la seguridad del sistema que faltan para proteger los conjuntos de escalado de máquinas virtuales Windows y Linux. (Directiva relacionada: Se deben instalar las actualizaciones del sistema en conjuntos de escalado de máquinas virtuales).

Como uso del agente de Azure Monitor (AMA) y del agente de Log Analytics (también conocido como Microsoft Monitoring Agent (MMA) se elimina gradualmente en Defender para servidores, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024. Estas recomendaciones se reemplazan por otras nuevas.

Gravedad: alta

Se deben instalar actualizaciones del sistema en las máquinas

Descripción: instale las actualizaciones críticas y la seguridad del sistema que faltan para proteger las máquinas virtuales Windows y Linux y los equipos (directiva relacionada: Las actualizaciones del sistema deben instalarse en las máquinas).

Como uso del agente de Azure Monitor (AMA) y del agente de Log Analytics (también conocido como Microsoft Monitoring Agent (MMA) se elimina gradualmente en Defender para servidores, se quitarán las recomendaciones que dependen de esos agentes, como este. En su lugar, las características de Defender para servidores usarán el agente de Microsoft Defender para punto de conexión o el examen sin agente, sin depender de MMA o AMA.

Desuso estimado: julio de 2024. Estas recomendaciones se reemplazan por otras nuevas.

Gravedad: alta

Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)

Descripción: las máquinas faltan en el sistema, la seguridad y las actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host

Descripción: use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en Uso de Azure Portal para habilitar el cifrado de un extremo a otro mediante el cifrado en el host. (Directiva relacionada: Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener cifrado en el host habilitado).

Gravedad: media

Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager

Descripción: las máquinas virtuales (clásicas) están en desuso y estas máquinas virtuales deben migrarse a Azure Resource Manager. Dado que Azure Resource Manager tiene ahora funcionalidades completas de IaaS y otras mejoras, hemos puesto en desuso las máquinas virtuales (VM) de IaaS mediante Azure Service Manager (ASM) el 28 de febrero de 2020. Esta funcionalidad se retirará por completo el 1 de marzo de 2023.

Para visualizar todas las VM clásicas afectadas, asegúrese de seleccionar todas las suscripciones de Azure en la pestaña "Directorios y suscripciones".

Recursos disponibles e información sobre esta herramienta y migración: Información general sobre el desuso de máquinas virtuales (clásico), proceso paso a paso para la migración y los recursos de Microsoft disponibles.Detalles sobre La migración a la herramienta de migración de Azure Resource Manager.Migración a la herramienta de migración de Azure Resource Manager mediante PowerShell. (Directiva relacionada: Las máquinas virtuales deben migrarse a nuevos recursos de Azure Resource Manager.

Gravedad: alta

El estado de atestación de invitado de las máquinas virtuales debe ser correcto

Descripción: la atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque, lo que podría ser el resultado de una bootkit infección o rootkit . Esta evaluación solo se aplica a las máquinas virtuales habilitadas para inicio de confianza que tengan instalada la extensión de atestación de invitados. (Ninguna directiva relacionada)

Gravedad: media

La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.

Descripción: la extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información (Directiva relacionada: La extensión de configuración de invitado debe implementarse en máquinas virtuales de Azure con la identidad administrada asignada por el sistema).

Gravedad: media

Los conjuntos de escalado de máquinas virtuales deben configurarse de forma segura.

Descripción: en los conjuntos de escalado de máquinas virtuales, corrija las vulnerabilidades para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de la configuración de seguridad en los conjuntos de escalado de máquinas virtuales).

Gravedad: alta

Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Para ver una comparación de las distintas tecnologías de cifrado de disco de Azure, consulte Introducción a las opciones de cifrado de discos administrados. Use Azure Disk Encryption para cifrar todos estos datos. Ignore esta recomendación si:

Está usando la característica de cifrado en host o el cifrado del lado servidor en Managed Disks cumple los requisitos de seguridad. Obtenga más información en cifrado del lado servidor de Azure Disk Storage.

(Directiva relacionada: el cifrado de discos debe aplicarse en las máquinas virtuales)

Gravedad: alta

vTPM debe estar habilitado en las máquinas virtuales admitidas

Descripción: habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

  • El inicio seguro requiere la creación de nuevas máquinas virtuales.
  • No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (mediante la configuración de invitado)

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas Linux para protegerlos frente a ataques. (Directiva relacionada: Las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de Azure.

Gravedad: baja

Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (mediante la configuración de invitado)

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas Windows para protegerlos de ataques. (Ninguna directiva relacionada)

Gravedad: baja

La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.

Descripción: Protección contra vulnerabilidades de seguridad de Windows Defender usa el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). (Directiva relacionada: Audite las máquinas Windows en las que protección contra vulnerabilidades de seguridad de Windows Defender no está habilitada).

Gravedad: media

Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite Introducción a las opciones de cifrado de discos administrados para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más información, visite Descripción de la configuración de Azure Machine. (Directiva relacionada: [Versión preliminar]: Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost).

Reemplaza las máquinas virtuales de recomendación anteriores deben cifrar los discos temporales, las memorias caché y los flujos de datos entre los recursos de proceso y almacenamiento. La recomendación le permite auditar el cumplimiento del cifrado de máquinas virtuales.

Gravedad: alta

Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros

Descripción: para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. (Directiva relacionada: Audite los servidores web de Windows que no usan protocolos de comunicación seguros).

Gravedad: alta

Recomendaciones de AWS Compute

Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de cumplimiento de revisiones COMPLIANT después de instalar una revisión

Descripción: este control comprueba si el estado de cumplimiento del cumplimiento de la revisión de Amazon EC2 Systems Manager es COMPATIBLE o NON_COMPLIANT después de la instalación de revisiones en la instancia. Solo comprueba las instancias administradas por AWS Systems Manager Patch Manager. No comprueba si la revisión se aplicó dentro del límite de 30 días indicado por el requisito de PCI DSS "6.2". Tampoco valida si las revisiones aplicadas se clasificaron como revisiones de seguridad. Debe crear grupos de revisión con la configuración de línea de base adecuada y asegurarse de que los sistemas del ámbito se administran mediante esos grupos de revisiones en Systems Manager. Para obtener más información sobre los grupos de revisiones, consulte Guía de usuario de AWS Systems Manager.

Gravedad: media

Amazon EFS debe configurarse para cifrar los datos de archivo en reposo con AWS KMS.

Descripción: este control comprueba si Amazon Elastic File System está configurado para cifrar los datos de archivo mediante AWS KMS. La comprobación produce un error en los siguientes casos: *"Encrypted" se establece en "false" en la respuesta DescribeFileSystems. La clave "KmsKeyId" de la respuesta DescribeFileSystems no coincide con el parámetro KmsKeyId para efs-encrypted-check. Tenga en cuenta que este control no usa el parámetro "KmsKeyId" para efs-encrypted-check. Solo comprueba el valor de "Encrypted". Para obtener una capa de seguridad adicional para los datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado para sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo al crear un sistema de archivos de Amazon EFS. Para más información sobre el cifrado de Amazon EFS, vea Cifrado de datos en Amazon EFS en la Guía del usuario de Amazon Elastic File System.

Gravedad: media

Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad.

Descripción: este control comprueba si los sistemas de archivos amazon Elastic File System (Amazon EFS) se agregan a los planes de copia de seguridad de AWS Backup. El control produce un error si los sistemas de archivos de Amazon EFS no se incluyen en los planes de copia de seguridad. La adición de sistemas de archivos de EFS en los planes de copia de seguridad le ayuda a proteger los datos frente a la eliminación y la pérdida de datos.

Gravedad: media

La protección contra eliminación del equilibrador de carga de aplicaciones debe estar habilitada.

Descripción: este control comprueba si una instancia de Application Load Balancer tiene habilitada la protección de eliminación. El control produce un error si la protección de eliminación no está configurada. Habilite la protección de eliminación para proteger Application Load Balancer frente a la eliminación.

Gravedad: media

Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado.

Descripción: los grupos de escalado automático asociados a un equilibrador de carga usan comprobaciones de estado de Equilibrio de carga elástico. PCI DSS no requiere equilibrio de carga ni configuraciones de alta disponibilidad. Esto se recomienda en los procedimientos recomendados de AWS.

Gravedad: baja

Las cuentas de AWS deben tener habilitado el aprovisionamiento automático de Azure Arc

Descripción: para obtener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores, las instancias ec2 deben estar conectadas a Azure Arc. Para asegurarse de que todas las instancias EC2 aptas reciban automáticamente Azure Arc, habilite el aprovisionamiento automático desde Defender for Cloud en el nivel de cuenta de AWS. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores.

Gravedad: alta

Las distribuciones de CloudFront deben tener configurada la conmutación por error de origen.

Descripción: este control comprueba si una distribución de Amazon CloudFront está configurada con un grupo de origen que tiene dos o más orígenes. La conmutación por error de origen de CloudFront puede aumentar la disponibilidad. La conmutación por error de origen redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.

Gravedad: media

Las direcciones URL del repositorio de origen de CodeBuild de GitHub o de Bitbucket deben usar OAuth.

Descripción: este control comprueba si la dirección URL del repositorio de código fuente de GitHub o Bitbucket contiene tokens de acceso personales o un nombre de usuario y una contraseña. Las credenciales de autenticación nunca deben almacenarse ni transmitirse en texto sin formato ni aparecer en la dirección URL del repositorio. En lugar de tokens de acceso personal o nombre de usuario y contraseña, debe usar OAuth para conceder autorización para acceder a los repositorios de GitHub o Bitbucket. El uso de tokens de acceso personal o un nombre de usuario y una contraseña podrían exponer sus credenciales a una exposición de datos no deseada y a un acceso no autorizado.

Gravedad: alta

Las variables de entorno de proyecto de CodeBuild no deben contener credenciales.

Descripción: este control comprueba si el proyecto contiene las variables AWS_ACCESS_KEY_ID de entorno y AWS_SECRET_ACCESS_KEY. Las credenciales de autenticación AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY nunca deben almacenarse como texto no cifrado, ya que esto podría provocar una exposición de datos no deseada y un acceso no autorizado.

Gravedad: alta

Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo.

Descripción: este control comprueba si un clúster DAX está cifrado en reposo. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. El cifrado agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer.

Gravedad: media

Las tablas de DynamoDB deben escalar automáticamente la capacidad con la demanda.

Descripción: este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Este control se pasa si la tabla usa el modo de capacidad a petición o el modo aprovisionado con el escalado automático configurado. El escalado de la capacidad según la demanda evita las excepciones de limitación, lo que ayuda a mantener la disponibilidad de las aplicaciones.

Gravedad: media

Las instancias de EC2 deben estar conectadas a Azure Arc.

Descripción: conecte las instancias ec2 a Azure Arc para tener visibilidad completa del contenido de seguridad de Microsoft Defender for Servers. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores en un entorno híbrido.

Gravedad: alta

Las instancias de EC2 deben ser administradas por AWS Systems Manager.

Descripción: el estado del cumplimiento de revisiones de Amazon EC2 Systems Manager es "COMPATIBLE" o "NON_COMPLIANT" después de la instalación de revisiones en la instancia. Solo se comprueban las instancias administradas por AWS Systems Manager Patch Manager. No se comprueban las revisiones que se aplicaron dentro del límite de 30 días prescrito por el requisito de PCI DSS "6".

Gravedad: media

Los problemas de configuración de EDR deben resolverse en EC2

Descripción: para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión habilitado.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: alta

La solución EDR debe instalarse en EC2

Descripción: para proteger EC2, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: alta

Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación de COMPLIANT.

Descripción: este control comprueba si el estado del cumplimiento de la asociación de AWS Systems Manager es COMPATIBLE o NON_COMPLIANT después de ejecutar la asociación en una instancia. El control pasa si el estado de cumplimiento de la asociación es COMPLIANT. Una asociación de State Manager es una configuración que se asigna a las instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe instalarse y ejecutarse en las instancias, o que se deben cerrar determinados puertos. Después de crear una o varias asociaciones de State Manager, la información de estado de cumplimiento está disponible inmediatamente en la consola o en respuesta a los comandos de la CLI de AWS o a las operaciones de API de Systems Manager correspondientes. En el caso de las asociaciones, el cumplimiento de "Configuración" muestra los estados compatibles o no compatibles y el nivel de gravedad asignado a la asociación, como Crítico o Medio. Para obtener más información sobre el cumplimiento de asociaciones de State Manager, consulte Acerca del cumplimiento de asociaciones de State Manager en la Guía de usuario de AWS Systems Manager. Debe configurar las instancias de EC2 del ámbito para la asociación de Systems Manager. También debe configurar la línea base de revisión para la clasificación de seguridad del proveedor de revisiones y establecer la fecha de autoaplicación para cumplir el requisito 6.2.1 de PCI DSS 3.2.1. Para obtener más instrucciones sobre cómo crear una asociación, consulte Creación de una asociación en la Guía de usuario de AWS Systems Manager. Para obtener más información sobre cómo trabajar con la aplicación de revisiones en Systems Manager, consulte AWS Systems Manager Patch Manager en la Guía de usuario de AWS Systems Manager.

Gravedad: baja

Las funciones lambda deben tener una cola de mensajes fallidos configurada.

Descripción: este control comprueba si una función lambda está configurada con una cola de mensajes fallidos. Este control genera un error si la función lambda no está configurada con una cola de mensajes con problemas de entrega. Como alternativa a un destino en caso de error, puede configurar la función con una cola de mensajes fallidos para guardar los eventos descartados para su posterior procesamiento. Una cola de mensajes fallidos actúa igual que un destino en caso de error. Se usa cuando un evento genera un error en todos los intentos de procesamiento o cuando expira sin procesarse. Una cola de mensajes fallidos le permite volver a buscar errores o solicitudes con error en la función lambda para depurar o identificar comportamientos inusuales. Desde el punto de vista de la seguridad, es importante comprender por qué la función ha generado un error y asegurarse de que, en consecuencia, la función no elimina datos ni pone en peligro la seguridad de los datos. Por ejemplo, si la función no puede comunicarse con un recurso subyacente, podría ser un síntoma de un ataque por denegación de servicio (DoS) en otra parte de la red.

Gravedad: media

Las funciones lambda deben usar entornos en tiempo de ejecución admitidos.

Descripción: este control comprueba que la configuración de la función Lambda para los entornos de ejecución coincidan con los valores esperados establecidos para los entornos de ejecución admitidos para cada idioma. Este control comprueba los siguientes runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Runtimes lambda se crean en torno a una combinación de sistemas operativos, lenguajes de programación y bibliotecas de software que están sujetas a actualizaciones de mantenimiento y seguridad. Cuando ya no se admite un componente en tiempo de ejecución para las actualizaciones de seguridad, lambda descarta el entorno de ejecución. Aunque no se pueden crear funciones que usen el tiempo de ejecución en desuso, la función sigue estando disponible para procesar eventos de invocación. Asegúrese de que las funciones lambda son actuales y no usan entornos en tiempo de ejecución obsoletos. Para más información sobre los entornos de ejecución admitidos que este control comprueba para los lenguajes admitidos, vea Tiempos de ejecución de Lambda en la Guía para desarrolladores de AWS Lambda.

Gravedad: media

Los puertos de administración de las instancias EC2 deben protegerse con el control de acceso de red Just-In-Time.

Descripción: Microsoft Defender for Cloud identificó algunas reglas de entrada excesivamente permisivas para los puertos de administración de la red. Habilite el control de acceso Just-in-Time para proteger las instancias frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información.

Gravedad: alta

Se deben quitar los grupos de seguridad de EC2 sin usar.

Descripción: los grupos de seguridad deben adjuntarse a instancias de Amazon EC2 o a un ENI. La búsqueda correcta puede indicar que hay grupos de seguridad de Amazon EC2 sin usar.

Gravedad: baja

Recomendaciones de proceso de GCP

Las máquinas virtuales de Compute Engine deben usar el sistema operativo optimizado para contenedores.

Descripción: esta recomendación evalúa la propiedad config de un grupo de nodos para el par clave-valor, "imageType": "COS".

Gravedad: baja

Los problemas de configuración de EDR deben resolverse en máquinas virtuales de GCP

Descripción: para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión habilitado.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: alta

La solución EDR debe instalarse en máquinas virtuales de GCP

Descripción: para proteger las máquinas virtuales, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla.

Esta recomendación de punto de conexión sin agente está disponible si tiene el plan 2 de Defender para servidores o el plan de CSPM de Defender. Obtenga más información sobre las recomendaciones de protección de puntos de conexión sin agente.

Gravedad: alta

Asegúrese de que la opción "Bloquear claves SSH para todo el proyecto" esté habilitada para las instancias de máquina virtual.

Descripción: se recomienda usar claves SSH específicas de instancia en lugar de usar claves SSH comunes o compartidas para acceder a instancias. Las claves SSH para todo el proyecto se almacenan en Compute/Project-meta-data. Las claves SSH para todo el proyecto se pueden usar para iniciar sesión en todas las instancias del proyecto. El uso de claves SSH para todo el proyecto facilita la administración de claves SSH, pero si se pone en peligro, supone el riesgo de seguridad que puede afectar a todas las instancias del proyecto. Se recomienda usar claves SSH específicas de instancia que pueden limitar la superficie expuesta a ataques si las claves SSH están en peligro.

Gravedad: media

Asegúrese de que las instancias de Compute se lanzan con la protección de VM habilitada

Descripción: para defenderse frente a amenazas avanzadas y asegurarse de que el cargador de arranque y el firmware de las máquinas virtuales están firmados y no registrados, se recomienda que las instancias de proceso se inicien con la máquina virtual blindada habilitada. Las máquinas virtuales blindadas son máquinas virtuales de Google Cloud Platform protegidas por un conjunto de controles de seguridad que ayudan a defenderse contra rootkits y bootkits. La máquina virtual blindada ofrece integridad verificable de las instancias de máquina virtual de Compute Engine, por lo que puede estar seguro de que las instancias no se han puesto en peligro mediante malware o rootkits de nivel de kernel o de arranque. La integridad verificable de la máquina virtual blindada se logra mediante el uso del arranque seguro, el arranque medido habilitado por el módulo de plataforma de confianza virtual (vTPM) y la supervisión de la integridad. Las instancias de máquina virtual blindada ejecutan el firmware firmado y comprobado mediante la entidad de certificación de Google, lo que garantiza que el firmware de la instancia no está modificado y establece la raíz de confianza para el arranque seguro. La supervisión de la integridad le ayuda a comprender y tomar decisiones sobre el estado de las instancias de máquina virtual y el vTPM de la máquina virtual blindada habilita el arranque medido mediante la realización de las medidas necesarias para crear una línea base de arranque correcto conocida, llamada línea base de la directiva de integridad. La línea base de la directiva de integridad se usa para comparar con las medidas de los posteriores arranques de la máquina virtual para determinar si ha cambiado algo. El arranque seguro ayuda a garantizar que el sistema solo ejecute software auténtico comprobando la firma digital de todos los componentes de arranque y deteniendo el proceso de arranque si se produce un error en la comprobación de la firma.

Gravedad: alta

Asegúrese de que la opción "Habilitar la conexión a puertos serie" no esté habilitada para la instancia de máquina virtual.

Descripción: la interacción con un puerto serie se conoce a menudo como consola serie, que es similar al uso de una ventana de terminal, en esa entrada y salida está completamente en modo de texto y no hay ninguna interfaz gráfica ni compatibilidad con el mouse. Si habilita la consola serie interactiva en una instancia, los clientes pueden intentar conectarse a esa instancia desde cualquier dirección IP. Por lo tanto, se debe deshabilitar la compatibilidad con la consola serie interactiva. Una instancia de máquina virtual tiene cuatro puertos serie virtuales. La interacción con un puerto serie es similar al uso de una ventana de terminal, en ese modo de entrada y salida está completamente en modo de texto y no hay ninguna interfaz gráfica ni compatibilidad con el mouse. El sistema operativo de la instancia, el BIOS y otras entidades de nivel de sistema suelen escribir la salida en los puertos serie y pueden aceptar entradas como comandos o respuestas a mensajes. Normalmente, estas entidades de nivel de sistema usan el primer puerto serie (puerto 1) y el puerto serie 1 a menudo se conoce como consola serie. La consola serie interactiva no admite restricciones de acceso basadas en IP, como listas de direcciones IP permitidas. Si habilita la consola serie interactiva en una instancia, los clientes pueden intentar conectarse a esa instancia desde cualquier dirección IP. Esto permite a cualquier usuario conectarse a esa instancia si conoce la clave SSH, el nombre de usuario, el identificador del proyecto, la zona y el nombre de instancia correctos. Por lo tanto, se debe deshabilitar la compatibilidad con la consola serie interactiva.

Gravedad: media

Asegúrese de que la marca de base de datos "log_duration" de la instancia de PostgreSQL de Cloud SQL esté establecida en "activada".

Descripción: habilitar la configuración de log_hostname hace que se registre la duración de cada instrucción completada. Esto no registra el texto de la consulta y, por tanto, se comporta diferente de la marca log_min_duration_statement. Este parámetro no se puede cambiar después del inicio de sesión. La supervisión del tiempo necesario para ejecutar las consultas puede ser fundamental para identificar cualquier consulta que acapare recursos y evaluar el rendimiento del servidor. Se pueden tomar pasos adicionales, como el equilibrio de carga y el uso de consultas optimizadas, para garantizar el rendimiento y la estabilidad del servidor. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_executor_stats" de la instancia de PostgreSQL de Cloud SQL esté establecida en "desactivada".

Descripción: el ejecutor de PostgreSQL es responsable de ejecutar el plan entregado por el planificador de PostgreSQL. El ejecutor procesa el plan de forma recursiva para extraer el conjunto necesario de filas. La marca "log_executor_stats" controla la inclusión de las estadísticas de rendimiento del ejecutor de PostgreSQL en los registros de PostgreSQL para cada consulta. La marca "log_executor_stats" permite un método de generación de perfiles crudo para registrar estadísticas de rendimiento del ejecutor de PostgreSQL, lo que, aunque puede ser útil para solucionar problemas, podría aumentar significativamente el número de registros y tener una sobrecarga de rendimiento. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_min_error_statement" de la instancia de PostgreSQL de Cloud SQL esté establecida en "Error" o más estricta.

Descripción: la marca "log_min_error_statement" define el nivel mínimo de gravedad del mensaje que se considera una instrucción de error. Los mensajes de las instrucciones de error se registran con la instrucción SQL. Los valores válidos incluyen "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" y "PANIC". Cada nivel de gravedad incluye los niveles posteriores mencionados anteriormente. Asegúrese de que se establezca un valor de ERROR o más estricto. La auditoría ayuda a solucionar problemas operativos y también permite el análisis forense. Si "log_min_error_statement" no está establecido en el valor correcto, es posible que los mensajes no se clasifiquen como mensajes de error correctamente. Teniendo en cuenta los mensajes de registro generales como mensajes de error sería difícil encontrar errores reales y considerar solo los niveles de gravedad más estrictos, ya que los mensajes de error podrían omitir los errores reales para registrar sus instrucciones SQL. La marca "log_min_error_statement" se debe establecer en "ERROR" o más estricta. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_parser_stats" de la instancia de PostgreSQL de Cloud SQL esté establecida en "desactivada".

Descripción: el planificador o optimizador de PostgreSQL es responsable de analizar y comprobar la sintaxis de cada consulta recibida por el servidor. Si la sintaxis es correcta, se genera un "árbol de análisis"; de lo contrario, se genera un error. La marca "log_parser_stats" controla la inclusión de las estadísticas de rendimiento del analizador en los registros de PostgreSQL para cada consulta. La marca "log_parser_stats" permite un método de generación de perfiles crudo para registrar estadísticas de rendimiento del analizador, lo que, aunque puede ser útil para solucionar problemas, puede aumentar significativamente el número de registros y tener una sobrecarga de rendimiento. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_planner_stats" para la instancia de PostgreSQL de Cloud SQL esté establecida como "desactivada".

Descripción: la misma consulta SQL se puede ejecutar de varias maneras y seguir produciendo resultados diferentes. El planificador u optimizador de PostgreSQL es responsable de crear un plan de ejecución óptimo para cada consulta. La marca "log_planner_stats" controla la inclusión de las estadísticas de rendimiento del planificador de PostgreSQL en los registros de PostgreSQL para cada consulta. La marca "log_planner_stats" permite un método de generación de perfiles crudo para registrar estadísticas de rendimiento de PostgreSQL Planner, lo que, aunque puede ser útil para solucionar problemas, podría aumentar significativamente el número de registros y tener una sobrecarga de rendimiento. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_statement_stats" para la instancia de PostgreSQL de Cloud SQL esté establecida como "desactivada".

Descripción: la marca "log_statement_stats" controla la inclusión de estadísticas de rendimiento de un extremo a otro de una consulta SQL en los registros de PostgreSQL para cada consulta. No se puede habilitar con otras estadísticas de módulo (log_parser_stats, log_planner_stats, log_executor_stats). La marca "log_statement_stats" permite un método de generación de perfiles en bruto para registrar las estadísticas de rendimiento completas de una consulta SQL. Esto puede ser útil para solucionar problemas, pero puede aumentar significativamente el número de registros y tener una sobrecarga de rendimiento. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que las instancias de Compute no tengan direcciones IP públicas.

Descripción: las instancias de proceso no deben configurarse para tener direcciones IP externas. Para reducir la superficie expuesta a ataques, las instancias de proceso no deben tener direcciones IP públicas. En su lugar, las instancias se deben configurar detrás de equilibradores de carga para minimizar la exposición de la instancia a Internet. Las instancias creadas por GKE deben excluirse porque algunas de ellas tienen direcciones IP externas y no se pueden cambiar editando la configuración de la instancia. Estas máquinas virtuales tienen nombres que empiezan por gke- y se etiquetan goog-gke-nodecomo .

Gravedad: alta

Asegúrese de que las instancias no estén configuradas para usar la cuenta de servicio predeterminada.

Descripción: se recomienda configurar la instancia para que no use la cuenta de servicio predeterminada del motor de proceso porque tiene el rol Editor en el proyecto. La cuenta de servicio predeterminada de Compute Engine tiene el rol Editor en el proyecto, lo que permite el acceso de lectura y escritura a la mayoría de los servicios en la nube de Google. Para defenderse contra las escalaciones de privilegios si la máquina virtual está en peligro y para evitar que un atacante obtenga acceso a todos los proyectos, se recomienda no usar la cuenta de servicio predeterminada del motor de proceso. En su lugar, debe crear una nueva cuenta de servicio y asignar solo los permisos necesarios para la instancia. La cuenta de servicio predeterminada del motor de proceso se denomina [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Se deben excluir las máquinas virtuales creadas por GKE. Estas máquinas virtuales tienen nombres que empiezan por gke- y se etiquetan goog-gke-nodecomo .

Gravedad: alta

Asegúrese de que las instancias no estén configuradas para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Cloud.

Descripción: para admitir el principio de privilegios mínimos y evitar la posible elevación de privilegios, se recomienda que las instancias no estén asignadas a la cuenta de servicio predeterminada "Cuenta de servicio predeterminada del motor de proceso" con ámbito "Permitir el acceso total a todas las API en la nube". Junto con la capacidad de crear, administrar y usar cuentas de servicio personalizadas administradas por el usuario, Google Compute Engine proporciona la cuenta de servicio predeterminada "Cuenta de servicio predeterminada de Compute Engine" para una instancia de para acceder a los servicios en la nube necesarios.

El rol "Editor del proyecto" se asigna a la "cuenta de servicio predeterminada de Compute Engine", por lo tanto, esta cuenta de servicio tiene casi todas las funcionalidades en todos los servicios en la nube, excepto la facturación. Sin embargo, cuando "cuenta de servicio predeterminada del motor de proceso" asignada a una instancia puede funcionar en tres ámbitos.

  • Permitir acceso predeterminado: solo permite el acceso mínimo necesario para ejecutar una instancia (privilegios mínimos).
  • Permitir el acceso total a todas las API en la nube: permita el acceso completo a todas las API o servicios en la nube (demasiado acceso).
  • Establecer el acceso para cada API: permite al administrador de instancias elegir solo las API necesarias para realizar una funcionalidad empresarial específica esperada por instancia.

Cuando una instancia está configurada con "Cuenta de servicio predeterminada del motor de proceso" con ámbito "Permitir el acceso total a todas las API en la nube", en función de los roles de IAM asignados a la instancia de acceso de los usuarios, puede permitir que el usuario realice operaciones en la nube o llamadas API que el usuario no se supone que lleve a cabo una escalación de privilegios correcta.

Se deben excluir las máquinas virtuales creadas por GKE. Estas máquinas virtuales tienen nombres que empiezan por gke- y se etiquetan goog-gke-nodecomo .

Gravedad: media

Asegúrese de que el reenvío de IP no esté habilitado en las instancias.

Descripción: la instancia del motor de proceso no puede reenviar un paquete a menos que la dirección IP de origen del paquete coincida con la dirección IP de la instancia. Del mismo modo, GCP no entregará un paquete cuya dirección IP de destino sea diferente de la dirección IP de la instancia que recibe el paquete. Sin embargo, ambas funcionalidades son necesarias si desea usar instancias para ayudar a enrutar los paquetes. Se debe deshabilitar el reenvío de paquetes de datos para evitar la pérdida de datos o la divulgación de información. La instancia del motor de proceso no puede reenviar un paquete a menos que la dirección IP de origen del paquete coincida con la dirección IP de la instancia. Del mismo modo, GCP no entregará un paquete cuya dirección IP de destino sea diferente de la dirección IP de la instancia que recibe el paquete. Sin embargo, ambas funcionalidades son necesarias si desea usar instancias para ayudar a enrutar los paquetes. Para habilitar esta comprobación ip de origen y destino, deshabilite el campo canIpForward, que permite que una instancia envíe y reciba paquetes con direcciones IP de origen o destino no coincidentes.

Gravedad: media

Asegúrese de que la marca de la base de datos "log_checkpoints" para la instancia de PostgreSQL de Cloud SQL esté establecida en "activada".

Descripción: asegúrese de que la marca de base de datos log_checkpoints de la instancia de Sql PostgreSQL en la nube esté establecida en activado. Al habilitar log_checkpoints, los puntos de control y los puntos de reinicio se registran en el registro del servidor. Se incluyen algunas estadísticas en los mensajes de registro, incluido el número de búferes escritos y el tiempo dedicado a escribirlos. Este parámetro solo se puede configurar en el archivo postgresql.conf o en la línea de comandos del servidor. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de la base de datos "log_lock_waits" para la instancia de PostgreSQL de Cloud SQL esté establecida en "activada".

Descripción: al habilitar la marca "log_lock_waits" para una instancia de PostgreSQL se crea un registro para las esperas de sesión que tardan más tiempo que el tiempo asignado "deadlock_timeout" para adquirir un bloqueo. El tiempo de espera del interbloqueo define el tiempo de espera en un bloqueo antes de comprobar si hay condiciones. Las excesos frecuentes en el tiempo de espera del interbloqueo pueden ser un indicador de un problema subyacente. Para registrar tales esperas en bloqueos, se puede habilitar la marca de log_lock_waits para identificar un rendimiento deficiente debido a retrasos de bloqueo o si un SQL especialmente diseñado intenta estrellar recursos a través de bloqueos durante una cantidad excesiva de tiempo. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_min_duration_statement" para la instancia de PostgreSQL de Cloud SQL esté establecida en "-1".

Descripción: la marca "log_min_duration_statement" define la cantidad mínima de tiempo de ejecución de una instrucción en milisegundos donde se registra la duración total de la instrucción. Asegúrese de que "log_min_duration_statement" está deshabilitado; es decir, se establece un valor de -1. Las instrucciones SQL de registro pueden incluir información confidencial que no se debe registrar en los registros. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_min_messages" para la instancia de PostgreSQL de Cloud SQL esté establecida correctamente.

Descripción: la marca "log_min_error_statement" define el nivel mínimo de gravedad del mensaje que se considera una instrucción de error. Los mensajes de las instrucciones de error se registran con la instrucción SQL. Los valores válidos incluyen "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" y "PANIC". Cada nivel de gravedad incluye los niveles posteriores mencionados anteriormente. Para desactivar eficazmente las instrucciones con errores de registro, establezca este parámetro en PANIC. La configuración ERROR se considera el procedimiento recomendado. Solo se deben realizar cambios de acuerdo con la directiva de registro de la organización. La auditoría ayuda a solucionar problemas operativos y también permite el análisis forense. Si "log_min_error_statement" no está establecido en el valor correcto, es posible que los mensajes no se clasifiquen como mensajes de error correctamente. Teniendo en cuenta los mensajes de registro generales como mensajes de error, sería difícil encontrar errores reales, mientras que considerar solo los niveles de gravedad más estrictos, ya que los mensajes de error podrían omitir los errores reales para registrar sus instrucciones SQL. La marca "log_min_error_statement" se debe establecer de acuerdo con la directiva de registro de la organización. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que la marca de base de datos "log_temp_files" para la instancia de SQL PostgreSQL en la nube esté establecida en "0".

Descripción: PostgreSQL puede crear un archivo temporal para acciones como la ordenación, el hash y los resultados de consultas temporales cuando estas operaciones superan "work_mem". La marca "log_temp_files" controla los nombres de registro y el tamaño del archivo cuando se elimina. La configuración de "log_temp_files" en 0 hace que se registre toda la información del archivo temporal, mientras que los valores positivos registran solo los archivos cuyo tamaño es mayor o igual que el número especificado de kilobytes. Un valor de "-1" deshabilita el registro de la información de los archivos temporales. Si no se registran todos los archivos temporales, puede ser más difícil identificar posibles problemas de rendimiento que podrían deberse a errores de codificación de aplicaciones deficientes o intentos deliberados de colapso de recursos.

Gravedad: baja

Asegúrese de que los discos de VM de las VM críticas estén cifrados con claves de cifrado suministradas por el cliente.

Descripción: Las claves de cifrado proporcionadas por el cliente (CSEK) son una característica de Google Cloud Storage y Google Compute Engine. Si proporciona sus propias claves de cifrado, Google usa esas claves para proteger las claves generadas por Google que se usan para cifrar y descifrar los datos. De manera predeterminada, Google Compute Engine cifra todos los datos en reposo. Compute Engine controla y administra este cifrado automáticamente sin ninguna acción adicional por su parte. Sin embargo, si desea controlar y administrar este cifrado usted mismo, puede proporcionar sus propias claves de cifrado. De manera predeterminada, Google Compute Engine cifra todos los datos en reposo. Compute Engine controla y administra este cifrado automáticamente sin ninguna acción adicional por su parte. Sin embargo, si desea controlar y administrar este cifrado usted mismo, puede proporcionar sus propias claves de cifrado. Si proporciona sus propias claves de cifrado, Compute Engine usa esas claves para proteger las claves generadas por Google que se usan para cifrar y descifrar los datos. Solo los usuarios que puedan proporcionar la clave correcta pueden usar los recursos protegidos por una clave de cifrado proporcionada por el cliente. Google no almacena las claves en sus servidores y no puede acceder a los datos protegidos a menos que proporcione la clave. Esto también significa que si olvidas o pierdes tu clave, no hay forma de que Google recupere la clave o recupere los datos cifrados con la clave perdida. Al menos las máquinas virtuales críticas para la empresa deben tener discos de máquina virtual cifrados con CSEK.

Gravedad: media

Los proyectos de GCP deben tener habilitado el aprovisionamiento automático de Azure Arc.

Descripción: para obtener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores, las instancias de máquina virtual de GCP deben estar conectadas a Azure Arc. Para asegurarse de que todas las instancias de máquina virtual aptas reciban automáticamente Azure Arc, habilite el aprovisionamiento automático desde Defender for Cloud en el nivel de proyecto de GCP. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores.

Gravedad: alta

Las instancias de máquina virtual de GCP deben estar conectadas a Azure Arc.

Descripción: conecte las máquinas virtuales de GCP a Azure Arc para tener visibilidad completa del contenido de seguridad de Microsoft Defender for Servers. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores en un entorno híbrido.

Gravedad: alta

Las instancias de máquina virtual de GCP deben tener instalado el agente de configuración del sistema operativo.

Descripción: para recibir las funcionalidades completas de Defender for Servers mediante el aprovisionamiento automático de Azure Arc, las máquinas virtuales de GCP deben tener habilitado el agente de configuración del sistema operativo.

Gravedad: alta

La característica de reparación automática del clúster de GKE debe estar habilitada.

Descripción: esta recomendación evalúa la propiedad de administración de un grupo de nodos para el par clave-valor, "key": "autoRepair", "value": true.

Gravedad: media

La característica de actualización automática del clúster de GKE debe estar habilitada.

Descripción: esta recomendación evalúa la propiedad de administración de un grupo de nodos para el par clave-valor, "clave": "autoUpgrade", "value": true.

Gravedad: alta

La supervisión en los clústeres de GKE debe estar habilitada.

Descripción: esta recomendación evalúa si la propiedad monitoringService de un clúster contiene la ubicación que la supervisión en la nube debe usar para escribir métricas.

Gravedad: media