Recomendaciones de seguridad de datos

En este artículo se enumeran todas las recomendaciones de seguridad de datos que puede ver en Microsoft Defender for Cloud.

Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.

Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.

Sugerencia

Si una descripción de recomendación indica No hay ninguna directiva relacionada, normalmente es porque esa recomendación depende de otra recomendación.

Por ejemplo, se deben corregir los errores de estado de Endpoint Protection en función de la recomendación que comprueba si se instala una solución de Endpoint Protection (se debe instalar la solución Endpoint Protection). La recomendación subyacente tiene una directiva. La limitación de directivas solo a recomendaciones fundamentales simplifica la administración de directivas.

Recomendaciones de datos de Azure

Azure Cosmos DB debe deshabilitar el acceso a la red pública

Descripción: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que la cuenta de Cosmos DB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de Cosmos DB. Más información. (Directiva relacionada: Azure Cosmos DB debe deshabilitar el acceso a la red pública).

Gravedad: media

(Habilitar si es necesario) Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/cosmosdb-cmk. (Directiva relacionada: Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK)

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente (CMK). De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/azureml-workspaces-cmk. (Directiva relacionada: Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK)).

Gravedad: baja

Azure SQL Database should be running TLS version 1.2 or newer

Descripción: si se establece TLS en la versión 1.2 o posterior, se mejora la seguridad, ya que garantiza que solo se pueda acceder a Azure SQL Database desde clientes que usen TLS 1.2 o versiones posteriores. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. (Directiva relacionada: Azure SQL Database debe ejecutar TLS versión 1.2 o posterior).

Gravedad: media

Azure SQL Managed Instances debería deshabilitar el acceso a la red pública

Descripción: deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Instancia administrada mejora la seguridad asegurándose de que solo se puede acceder desde dentro de sus redes virtuales o a través de puntos de conexión privados. Obtenga más información sobre acceso a la red pública. (Directiva relacionada: Instancias administradas de Azure SQL deben deshabilitar el acceso a la red pública).

Gravedad: media

Las cuentas de Cosmos DB deben usar un vínculo privado

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Cuando los puntos de conexión privados se asignan a la cuenta de Cosmos DB, se reducen los riesgos de pérdida de datos. Obtenga más información acerca de vínculos privados. (Directiva relacionada: Las cuentas de Cosmos DB deben usar un vínculo privado).

Gravedad: media

(Habilitar si es necesario) Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. (Directiva relacionada: Traiga su propia protección de datos clave debe estar habilitada para los servidores MySQL.

Gravedad: baja

(Habilitar si es necesario) Los servidores postgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. (Directiva relacionada: Traiga su propia protección de datos clave debe estar habilitada para los servidores PostgreSQL.

Gravedad: baja

(Habilitar si es necesario) Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. (Directiva relacionada: Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Los servidores SQL Server deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. (Directiva relacionada: Los servidores SQL Server deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Las cuentas de almacenamiento deben usar la clave administrada por el cliente (CMK) para el cifrado.

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Proteja su cuenta de almacenamiento con mayor flexibilidad mediante el uso de claves administradas por el cliente (CMK). Cuando se especifica una CMK, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves CMK proporciona funciones adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. (Directiva relacionada: Las cuentas de almacenamiento deben usar la clave administrada por el cliente (CMK) para el cifrado).

Gravedad: baja

Todos los tipos de protección contra amenazas avanzada deben habilitarse en la configuración de la seguridad avanzada de datos de las instancias administradas de SQL.

Descripción: se recomienda habilitar todos los tipos de protección contra amenazas avanzadas en las instancias administradas de SQL. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala. (Ninguna directiva relacionada)

Gravedad: media

Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server.

Descripción: se recomienda habilitar todos los tipos de protección contra amenazas avanzadas en los servidores SQL Server. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala. (Ninguna directiva relacionada)

Gravedad: media

Los servicios de API Management deben usar una red virtual

Descripción: la implementación de Azure Virtual Network proporciona seguridad, aislamiento y mejora la seguridad y permite colocar el servicio API Management en una red que no es enrutable a Internet a la que se controla el acceso. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, que habilitan el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sean accesibles desde Internet o solo dentro de la red virtual. (Directiva relacionada: Los servicios de API Management deben usar una red virtual.

Gravedad: media

App Configuration debe usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. (Directiva relacionada: App Configuration debe usar private link).

Gravedad: media

La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo

Descripción: audite los servidores SQL Server configurados con un período de retención de auditoría de menos de 90 días. (Directiva relacionada: los servidores de SQL Server se deben configurar con una retención de auditoría de 90 días, o más.)

Gravedad: baja

La auditoría de SQL Server debe estar habilitada

Descripción: habilite la auditoría en SQL Server para realizar un seguimiento de las actividades de base de datos en todas las bases de datos del servidor y guardarlas en un registro de auditoría. (Directiva relacionada: La auditoría en SQL Server debe estar habilitada).

Gravedad: baja

El aprovisionamiento automático del agente de Log Analytics debe habilitarse en las suscripciones.

Descripción: para supervisar las vulnerabilidades y amenazas de seguridad, Microsoft Defender for Cloud recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. (Directiva relacionada: El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción).

Gravedad: baja

Azure Cache for Redis debe residir en una red virtual

Descripción: la implementación de Azure Virtual Network (VNet) proporciona seguridad y aislamiento mejorados para Azure Cache for Redis, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando una instancia de Azure Cache for Redis se configure con una red virtual, no será posible acceder a ella públicamente, solo se podrá acceder a ella desde máquinas virtuales y aplicaciones de dentro de la red virtual. (Directiva relacionada: Azure Cache for Redis debe residir dentro de una red virtual.

Gravedad: media

Azure Database for MySQL debe tener un administrador de Azure Active Directory aprovisionado

Descripción: aprovisione un administrador de Azure AD para azure Database for MySQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de los usuarios de la base de datos y otros servicios Microsoft (directiva relacionada: se debe aprovisionar un administrador de Azure Active Directory para los servidores MySQL).

Gravedad: media

Azure Database for PostgreSQL debe tener aprovisionado un administrador de Azure Active Directory

Descripción: aprovisione un administrador de Azure AD para azure Database for PostgreSQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft
(Directiva relacionada: Se debe aprovisionar un administrador de Azure Active Directory para los servidores postgreSQL).

Gravedad: media

El servidor flexible de Azure Database for PostgreSQL solo debe tener habilitada la autenticación de Microsoft Entra.

Descripción: Deshabilitar los métodos de autenticación local y requerir la autenticación de Microsoft Entra mejora la seguridad asegurándose de que solo las identidades de Microsoft Entra pueden acceder al servidor flexible de Azure Database for PostgreSQL (directiva relacionada: el servidor flexible de Azure PostgreSQL debe tener habilitada la autenticación solo de Microsoft Entra).

Gravedad: media

Las cuentas de Azure Cosmos DB deben tener reglas de firewall.

Descripción: las reglas de firewall deben definirse en las cuentas de Azure Cosmos DB para evitar el tráfico de orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. (Directiva relacionada: Las cuentas de Azure Cosmos DB deben tener reglas de firewall).

Gravedad: media

Los dominios de Azure Event Grid deben usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. (Directiva relacionada: Los dominios de Azure Event Grid deben usar private link).

Gravedad: media

Los temas de Azure Event Grid deben usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los temas en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. (Directiva relacionada: Los temas de Azure Event Grid deben usar private link).

Gravedad: media

Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado.

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las áreas de Azure Machine Learning en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/azureml-workspaces-privatelink. (Directiva relacionada: Las áreas de trabajo de Azure Machine Learning deben usar private link).

Gravedad: media

Azure SignalR Service debe usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de SignalR en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/asrs/privatelink. (Directiva relacionada: Azure SignalR Service debe usar private link).

Gravedad: media

Azure Spring Cloud debe usar la inserción de red

Descripción: Las instancias de Azure Spring Cloud deben usar la inserción de red virtual con los siguientes fines: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. (Directiva relacionada: Azure Spring Cloud debe usar la inyección de red).

Gravedad: media

Los servidores SQL deben tener un administrador de Azure Active Directory aprovisionado.

Descripción: aprovisione un administrador de Azure AD para sql Server para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft. (Directiva relacionada: Se debe aprovisionar un administrador de Azure Active Directory para servidores SQL Server.

Gravedad: alta

El modo de autenticación del área de trabajo de Azure Synapse debe ser solo Azure Active Directory

Descripción: el modo de autenticación del área de trabajo de Azure Synapse debe ser Solo Los métodos de autenticación de Azure Active Directory solo de Azure Active Directory mejoran la seguridad asegurándose de que las áreas de trabajo de Synapse requieren exclusivamente identidades de Azure AD para la autenticación. Más información. (Directiva relacionada: Las áreas de trabajo de Synapse solo deben usar identidades de Azure Active Directory para la autenticación).

Gravedad: media

Los repositorios de código deben tener resueltos los resultados del examen de código

Descripción: Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades. (Ninguna directiva relacionada)

Gravedad: media

Los resultados de los exámenes de Dependabot de los repositorios de código deben estar resueltos

Descripción: Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades. (Ninguna directiva relacionada)

Gravedad: media

Los resultados de los exámenes de infraestructura como código de los repositorios de código deben estar resueltos

Descripción: Defender para DevOps ha encontrado problemas de configuración de seguridad de código como infraestructura en repositorios. Los problemas que se muestran a continuación se han detectado en archivos de plantilla. Para mejorar la posición de seguridad de los recursos en la nube relacionados, se recomienda encarecidamente corregir estos problemas. (Ninguna directiva relacionada)

Gravedad: media

Los repositorios de código deben tener los resultados del examen de secretos resueltos

Descripción: Defender para DevOps ha encontrado un secreto en los repositorios de código. Esto debe corregirse inmediatamente para evitar una infracción de seguridad. Los secretos encontrados en los repositorios se pueden filtrar o detectar por adversarios, lo que conduce a un riesgo de una aplicación o servicio. Para Azure DevOps, la herramienta CredScan de DevOps de seguridad de Microsoft solo examina las compilaciones en las que se ha configurado para ejecutarse. Por tanto, es posible que los resultados no reflejen el estado completo de los secretos en los repositorios. (Ninguna directiva relacionada)

Gravedad: alta

Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos

Descripción: esta directiva audita las cuentas de Cognitive Services que no usan cifrado de datos. Para cada cuenta con almacenamiento, debe habilitar el cifrado de datos con clave administrada por el cliente o administrada por Microsoft. (Directiva relacionada: Las cuentas de Cognitive Services deben habilitar el cifrado de datos).

Gravedad: baja

Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.

Descripción: esta directiva audita cualquier cuenta de Cognitive Services que no use el almacenamiento propiedad del cliente ni el cifrado de datos. Para cada cuenta de Cognitive Services con almacenamiento, use el almacenamiento propiedad del cliente o habilite el cifrado de datos. Se alinea con Microsoft Cloud Security Benchmark. (Directiva relacionada: Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.)

Gravedad: baja

Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico de Data Lake Analytics deben estar habilitados

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Data Lake Analytics deben estar habilitados).

Gravedad: baja

La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.

Descripción: para asegurarse de que se notifican a las personas pertinentes de su organización cuando hay una posible vulneración de seguridad en una de sus suscripciones, habilite las notificaciones por correo electrónico para las alertas de gravedad alta en Defender for Cloud. (Directiva relacionada: Se debe habilitar la notificación por correo electrónico para las alertas de gravedad alta).

Gravedad: baja

La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.

Descripción: para asegurarse de que los propietarios de la suscripción reciben notificaciones cuando hay una posible infracción de seguridad en su suscripción, establezca notificaciones por correo electrónico en propietarios de suscripciones para alertas de gravedad alta en Defender for Cloud. (Directiva relacionada: Se debe habilitar la notificación por correo electrónico al propietario de la suscripción para las alertas de gravedad alta).

Gravedad: media

Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL

Descripción: Azure Database for MySQL admite la conexión del servidor de Azure Database for MySQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. (Directiva relacionada: La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos MySQL).

Gravedad: media

La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL

Descripción: Azure Database for PostgreSQL admite la conexión del servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. (Directiva relacionada: La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos postgreSQL.

Gravedad: media

Las aplicaciones de funciones deben tener resueltos los hallazgos de vulnerabilidades

Descripción: el examen de vulnerabilidades en tiempo de ejecución de las funciones examina las aplicaciones de función para detectar vulnerabilidades de seguridad y expone conclusiones detalladas. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad delas aplicaciones sin servidor y protegerlos frente a ataques. (Ninguna directiva relacionada)

Gravedad: alta

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB

Descripción: Azure Database for MariaDB permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB).

Gravedad: baja

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL

Descripción: Azure Database for MySQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL).

Gravedad: baja

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL

Descripción: Azure Database for PostgreSQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL).

Gravedad: baja

Los repositorios de GitHub deben tener habilitado el análisis de código

Descripción: GitHub usa el análisis de código para analizar código con el fin de buscar vulnerabilidades de seguridad y errores en el código. El escaneo de código puede usarse para encontrar, clasificar y priorizar las correcciones de los problemas existentes en su código. El análisis del código también puede evitar que los desarrolladores generen nuevos problemas. Los escaneos se pueden programar para días y horas específicas, o los escaneos se pueden activar cuando se produce un evento específico en el repositorio, como un push. Si el escaneo de código encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto. (Ninguna directiva relacionada)

Gravedad: media

Los repositorios de GitHub deben tener habilitado el examen de Dependabot

Descripción: GitHub envía alertas de Dependabot cuando detecta vulnerabilidades en dependencias de código que afectan a los repositorios. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Cuando el código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas. (Ninguna directiva relacionada)

Gravedad: media

Los repositorios de GitHub deben tener habilitada la característica de examen de secretos

Descripción: GitHub examina repositorios de tipos conocidos de secretos para evitar el uso fraudulento de secretos que se han confirmado accidentalmente en repositorios. El escaneo de secretos escaneará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub en busca de cualquier secreto. Algunos ejemplos de secretos son tokens y claves privadas que un proveedor de servicios puede emitir para la autenticación. Si se registra un secreto en un repositorio, cualquiera que tenga acceso de lectura al repositorio puede usar el secreto para acceder al servicio externo con esos privilegios. Los secretos deben almacenarse en una ubicación dedicada y segura fuera del repositorio del proyecto. (Ninguna directiva relacionada)

Gravedad: alta

Se debe habilitar Microsoft Defender para servidores de Microsoft Azure SQL Database

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Incluye una funcionalidad para mostrar y mitigar las vulnerabilidades potenciales de una base de datos, mediante la detección de actividades anómalas que puedan indicar una amenaza para dicha base de datos, y el descubrimiento y clasificación de datos confidenciales.

Las protecciones de este plan se cobran como se muestra en la página Planes de Defender. Si no tiene ningún servidor Azure SQL Database en esta suscripción, no se le aplicarán cargos. Si más adelante crea servidores de Azure SQL Database en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región

Más información en Introducción a Microsoft Defender para SQL (Directiva relacionada: Los servidores de Azure Defender para Azure SQL Database deben estar habilitados).

Gravedad: alta

Se debe habilitar Microsoft Defender para DNS

Descripción: Microsoft Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas DNS de los recursos de Azure. Defender para DNS alerta sobre actividades sospechosas en la capa DNS. Más información en Introducción a Microsoft Defender para DNS La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de precios por región en la página de precios de Defender for Cloud: Precios de Defender for Cloud. (Ninguna directiva relacionada)

Gravedad: alta

Microsoft Defender para las bases de datos relacionales de código abierto debería estar habilitado.

Descripción: Microsoft Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos. Más información en Introducción a Microsoft Defender para bases de datos relacionales de código abierto

La habilitación de este plan dará lugar a cargos por proteger las bases de datos relacionales de código abierto. Si no se tiene ninguna base de datos relacional de código abierto en esta suscripción, no se incurrirá en ningún cargo. Si, en el futuro, crea bases de datos relacionales de código abierto en esta suscripción, se protegerán automáticamente y, a partir de ese momento, se iniciarán los cargos. (Ninguna directiva relacionada)

Gravedad: alta

Se debe habilitar Microsoft Defender para Resource Manager

Descripción: Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de su organización. Defender for Cloud detecta amenazas y alerta sobre actividades sospechosas. Más información en Introducción a Microsoft Defender para Resource Manager La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de precios por región en la página de precios de Defender for Cloud: Precios de Defender for Cloud. (Ninguna directiva relacionada)

Gravedad: alta

Microsoft Defender para SQL en las máquinas debe estar habilitado en las áreas de trabajo

Descripción: Microsoft Defender para servidores ofrece detección de amenazas y defensas avanzadas para las máquinas Windows y Linux. Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas. Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para los servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para los servidores de la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure. Más información en Introducción a Microsoft Defender para servidores. (Ninguna directiva relacionada)

Gravedad: media

Se debe habilitar Microsoft Defender para servidores SQL Server en las máquinas

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Incluye una funcionalidad para mostrar y mitigar las vulnerabilidades potenciales de una base de datos, mediante la detección de actividades anómalas que puedan indicar una amenaza para dicha base de datos, y el descubrimiento y clasificación de datos confidenciales.

La corrección de esta recomendación dará lugar a cargos por la protección de los servidores SQL Server en las máquinas. Si no tiene ningún servidor SQL Server en las máquinas de esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de servidores SQL Server en las máquinas de esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información sobre Microsoft Defender para servidores de SQL Server en las máquinas (Directiva relacionada: Los servidores de Azure Defender para SQL Server deben estar habilitados).

Gravedad: alta

Se debe habilitar Microsoft Defender para SQL en los servidores de Azure SQL Server desprotegidos

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Expone y mitiga posibles vulnerabilidades de la base de datos y detecta actividades anómalas que podrían indicar una amenaza para la base de datos. Microsoft Defender para SQL se factura como se muestra en los detalles de precios por región. (Directiva relacionada: Advanced Data Security debe estar habilitado en los servidores SQL Server.

Gravedad: alta

Microsoft Defender para SQL debe habilitarse en las instancias de SQL Managed Instance desprotegidas.

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Expone y mitiga posibles vulnerabilidades de la base de datos y detecta actividades anómalas que podrían indicar una amenaza para la base de datos. Microsoft Defender para SQL se factura como se muestra en los detalles de precios por región. (Directiva relacionada: Advanced Data Security debe estar habilitado en SQL Instancia administrada).

Gravedad: alta

Se debe habilitar Microsoft Defender para Storage

Descripción: Microsoft Defender para almacenamiento detecta intentos inusuales y potencialmente dañinos de acceder a las cuentas de almacenamiento o aprovecharlas.

Las protecciones de este plan se cobran como se muestra en la página Planes de Defender. Si no tiene ninguna cuenta Azure Storage en esta suscripción, no se le cobrará. Si más adelante crea cuentas de Azure Storage en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región Puede obtener más información en Introducción a Microsoft Defender para Storage. (Directiva relacionada: Azure Defender para Storage debe estar habilitado).

Gravedad: alta

Network Watcher debe estar habilitado

Descripción: Network Watcher es un servicio regional que le permite supervisar y diagnosticar condiciones en un nivel de escenario de red en, hacia y desde Azure. La supervisión de nivel de escenario le permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Las herramientas de visualización y diagnóstico de red que incluye Network Watcher le ayudan a conocer, diagnosticar y obtener información acerca de cualquier red de Azure. (Directiva relacionada: Network Watcher debe estar habilitado).

Gravedad: baja

Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas

Descripción: las conexiones de punto de conexión privado aplican la comunicación segura habilitando la conectividad privada a Azure SQL Database. (Directiva relacionada: Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas).

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores MariaDB

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores mariaDB.

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores MySQL

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores MySQL.

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores PostgreSQL

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores PostgreSQL.

Gravedad: media

Debe deshabilitarse el acceso a redes públicas en Azure SQL Database

Descripción: deshabilitar la propiedad de acceso a la red pública mejora la seguridad asegurándose de que solo se puede acceder a Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. (Directiva relacionada: El acceso a la red pública en Azure SQL Database debe deshabilitarse).

Gravedad: media

El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services

Descripción: esta directiva audita cualquier cuenta de Cognitive Services en su entorno con el acceso a la red pública habilitado. El acceso a la red pública debe estar deshabilitado, de forma que solo se permitan conexiones desde puntos de conexión privados. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para las cuentas de Cognitive Services.

Gravedad: media

El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores mariaDB.

Gravedad: media

El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores MySQL).

Gravedad: media

El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores PostgreSQL.

Gravedad: media

Redis Cache debe permitir el acceso solo mediante SSL.

Descripción: habilite solo las conexiones a través de SSL a Redis Cache. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión. (Directiva relacionada: Solo se deben habilitar las conexiones seguras a Azure Cache for Redis).

Gravedad: alta

Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades de SQL examina la base de datos para detectar vulnerabilidades de seguridad y expone cualquier desviación de los procedimientos recomendados, como configuraciones incorrectas, permisos excesivos y datos confidenciales no protegidos. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. Más información (Directiva relacionada: se deben corregir las vulnerabilidades de las bases de datos SQL).

Gravedad: alta

Las instancias administradas de SQL deben tener configurada la evaluación de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades puede detectar, realizar un seguimiento y ayudarle a corregir posibles vulnerabilidades de la base de datos. (Directiva relacionada: La evaluación de vulnerabilidades debe estar habilitada en SQL Instancia administrada).

Gravedad: alta

Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades de SQL examina la base de datos para detectar vulnerabilidades de seguridad y expone cualquier desviación de los procedimientos recomendados, como configuraciones incorrectas, permisos excesivos y datos confidenciales no protegidos. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. Más información (Directiva relacionada: se deben corregir las vulnerabilidades de los servidores SQL Server en la máquina).

Gravedad: alta

Los servidores SQL deben tener un administrador de Azure Active Directory aprovisionado.

Descripción: aprovisione un administrador de Azure AD para sql Server para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft. (Directiva relacionada: Se debe aprovisionar un administrador de Azure Active Directory para servidores SQL Server.

Gravedad: alta

Los servidores de SQL deben tener configurada la evaluación de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades puede detectar, realizar un seguimiento y ayudarle a corregir posibles vulnerabilidades de la base de datos. (Directiva relacionada: La evaluación de vulnerabilidades debe estar habilitada en los servidores SQL Server.

Gravedad: alta

La cuenta de almacenamiento debería utilizar una conexión de vínculo privado

Descripción: los vínculos privados aplican la comunicación segura, ya que proporcionan conectividad privada a la cuenta de almacenamiento (directiva relacionada: la cuenta de almacenamiento debe usar una conexión de vínculo privado).

Gravedad: media

Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager

Descripción: para beneficiarse de las nuevas funcionalidades de Azure Resource Manager, puede migrar las implementaciones existentes desde el modelo de implementación clásica. Resource Manager permite mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en ARM, acceso a identidades administradas, acceso al almacén de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Más información (Directiva relacionada: las cuentas de almacenamiento deben migrarse a nuevos recursos de Azure Resource Manager).

Gravedad: baja

Las cuentas de almacenamiento deben evitar el acceso a claves compartidas

Descripción: el requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso sobre clave compartida, y Microsoft lo recomienda. (Directiva relacionada: directiva)

Gravedad: media

Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual

Descripción: proteja las cuentas de almacenamiento frente a posibles amenazas mediante reglas de red virtual como método preferido en lugar del filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. (Directiva relacionada: Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual.

Gravedad: media

Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad

Descripción: para asegurarse de que las personas pertinentes de su organización reciben notificaciones cuando hay una posible infracción de seguridad en una de sus suscripciones, establezca un contacto de seguridad para recibir notificaciones por correo electrónico de Defender for Cloud. (Directiva relacionada: las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad)

Gravedad: baja

El cifrado de datos transparente en bases de datos SQL debe estar habilitado

Descripción: habilite el cifrado de datos transparente para proteger los datos en reposo y cumplir los requisitos de cumplimiento (directiva relacionada: Cifrado de datos transparente en bases de datos SQL debe estar habilitada).

Gravedad: baja

Las plantillas de VM Image Builder deben usar Private Link

Descripción: audite las plantillas de Vm Image Builder que no tienen configurada una red virtual. Cuando no se configura una red virtual, se crea una dirección IP pública y se usa en su lugar, lo que podría exponer directamente los recursos a Internet y aumentar la posible superficie expuesta a ataques. (Directiva relacionada: Las plantillas de VM Image Builder deben usar private link).

Gravedad: media

El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway

Descripción: implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países o regiones, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. (Directiva relacionada: El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway.

Gravedad: baja

Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service

Descripción: implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países o regiones, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. (Directiva relacionada: Web Application Firewall (WAF) debe habilitarse para Azure Front Door Service)

Gravedad: baja

Recomendaciones de datos de AWS

Los clústeres de Amazon Aurora deben tener habilitada la vuelta atrás (backtracking)

Descripción: este control comprueba si los clústeres de Amazon Aurora tienen habilitado el retroceso. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resistencia de los sistemas. La vuelta atrás (backtracking) de Aurora reduce el tiempo de recuperación de una base de datos a un momento dado. No requiere una restauración de base de datos para ello. Para obtener más información sobre la vuelta atrás (backtracking) en Aurora, vea Búsqueda de datos anteriores de un clúster de base de datos de Aurora en la Guía del usuario de Amazon Aurora.

Gravedad: media

Las instantáneas de Amazon EBS no se deben poder restaurar públicamente.

Descripción: las instantáneas de Amazon EBS no deben ser restaurables públicamente por todos a menos que se permita explícitamente, para evitar la exposición accidental de los datos. Además, el permiso para cambiar las configuraciones de Amazon EBS debe restringirse solo a las cuentas de AWS autorizadas.

Gravedad: alta

Las definiciones de tareas de Amazon ECS deben tener modos de red segura y definiciones de usuario.

Descripción: este control comprueba si una definición de tarea de Amazon ECS activa que tiene el modo de red de host también tiene definiciones de contenedor de usuario o con privilegios. Se produce un error en el control para las definiciones de tareas que tienen el modo de red host y las definiciones de contenedor donde privileged=false o está vacío y user=root o está vacío. Si una definición de tarea tiene privilegios elevados, se debe a que el cliente optó específicamente por esa configuración. Este control comprueba si hay una elevación de privilegios inesperada cuando una definición de tarea tiene habilitada la red de host, pero el cliente no optó por privilegios elevados.

Gravedad: alta

Los dominios de Amazon Elasticsearch Service deben cifrar los datos enviados entre nodos.

Descripción: este control comprueba si los dominios de Amazon ES tienen habilitado el cifrado de nodo a nodo. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan interceptar o manipular el tráfico de red mediante ataques de intermediarios o similares. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). La habilitación del cifrado de nodo a nodo para dominios de Amazon ES garantiza que las comunicaciones dentro del clúster se cifran en tránsito. Puede haber una penalización de rendimiento asociada a esta configuración. Debe tener en cuenta y probar la reducción del rendimiento antes de habilitar esta opción.

Gravedad: media

Los dominios de Amazon Elasticsearch Service deben tener habilitado el cifrado en reposo.

Descripción: Es importante habilitar cifrados en el resto de dominios de Amazon ES para proteger los datos confidenciales.

Gravedad: media

La base de datos de Amazon RDS debe cifrarse con una clave administrada por el cliente

Descripción: esta comprobación identifica las bases de datos de RDS cifradas con claves KMS predeterminadas y no con claves administradas por el cliente. Como procedimiento recomendado, use claves administradas por el cliente para cifrar los datos en las bases de datos de RDS y mantenga el control de las claves y los datos en cargas de trabajo confidenciales.

Gravedad: media

La instancia de Amazon RDS debe configurarse con la configuración de copia de seguridad automática

Descripción: esta comprobación identifica las instancias de RDS, que no se establecen con la configuración de copia de seguridad automática. Si la copia de seguridad automática está configurada, RDS crea una instantánea del volumen de almacenamiento de la instancia de base de datos, realizando una copia de seguridad de toda la instancia de base de datos y no sólo de las bases de datos individuales, lo que permite una recuperación a un momento dado. La copia de seguridad automática se produce durante el tiempo de la ventana de copia de seguridad especificada y mantiene las copias de seguridad durante un período de tiempo limitado, tal como se define en el período de retención. Se recomienda establecer copias de seguridad automáticas para los servidores RDS críticos que ayudan en el proceso de restauración de datos.

Gravedad: media

Los clústeres de Amazon Redshift deben tener habilitados los registros de auditoría.

Descripción: este control comprueba si un clúster de Amazon Redshift tiene habilitado el registro de auditoría. El registro de auditoría de Amazon Redshift proporciona información adicional sobre las conexiones y las actividades del usuario en el clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, vea Registro de auditoría de bases de datos en la Guía de administración de clústeres de Amazon Redshift.

Gravedad: media

Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas.

Descripción: este control comprueba si los clústeres de Amazon Redshift tienen habilitadas instantáneas automatizadas. También comprueba si el período de retención de instantáneas es mayor o igual que siete. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resistencia de los sistemas. Amazon Redshift realiza instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y si se conservan durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte Instantáneas automatizadas en la Guía de administración de clústeres de Amazon Redshift.

Gravedad: media

Los clústeres de Amazon Redshift deben prohibir el acceso público.

Descripción: Se recomienda que los clústeres de Amazon Redshift eviten la accesibilidad pública mediante la evaluación del campo "publicAccessible" en el elemento de configuración del clúster.

Gravedad: alta

Amazon Redshift debe tener habilitadas las actualizaciones automáticas de las versiones principales.

Descripción: este control comprueba si las actualizaciones automáticas de versiones principales están habilitadas para el clúster de Amazon Redshift. La habilitación de las actualizaciones automáticas de versiones principales garantiza que las actualizaciones de la última versión principal de los clústeres de Amazon Redshift se instalen durante la ventana de mantenimiento. Estas actualizaciones pueden incluir actualizaciones de seguridad y correcciones de errores. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.

Gravedad: media

Las colas de Amazon SQS deben cifrarse en reposo.

Descripción: este control comprueba si las colas de Amazon SQS están cifradas en reposo. El cifrado del lado servidor (SSE) permite transmitir datos confidenciales en colas cifradas. Para proteger el contenido de los mensajes en colas, SSE usa claves administradas en AWS KMS. Para más información, vea Cifrado en reposo en la Guía para desarrolladores de Amazon Simple Queue Service.

Gravedad: media

Se debe configurar una suscripción de notificaciones de eventos de RDS para eventos de clúster críticos.

Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS que tiene las notificaciones habilitadas para el siguiente tipo de origen: pares clave-valor de categoría de evento. DBCluster: [Mantenimiento y error]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.

Gravedad: baja

Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de instancia de base de datos crítica.

Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con notificaciones habilitadas para el siguiente tipo de origen: Pares clave-valor de categoría de evento. DBInstance: [Mantenimiento, cambio de configuración y error]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.

Gravedad: baja

Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de grupo de parámetro de base de datos crítica.

Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con notificaciones habilitadas para el siguiente tipo de origen: Pares clave-valor de categoría de evento. DBParameterGroup: ["configuration","change"]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.

Gravedad: baja

Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de grupo de seguridad de base de datos crítica.

Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con notificaciones habilitadas para el siguiente tipo de origen: Pares clave-valor de categoría de evento. DBSecurityGroup: [Configuración, cambio, error]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.

Gravedad: baja

El registro de API de REST y API WebSocket de puerta de enlace de API debe estar habilitado.

Descripción: este control comprueba si todas las fases de una API REST de Amazon API Gateway o webSocket API tienen habilitado el registro. Se produce un error en el control si el registro no está habilitado para todos los métodos de una fase o si el nivel de registro no es ERROR ni INFO. Las fases de API Gateway REST o WebSocket API deben tener habilitados los registros pertinentes. El registro de ejecución de API Gateway REST y WebSocket API proporciona registros detallados de las solicitudes realizadas a las fases de API Gateway REST y WebSocket API. Las fases incluyen respuestas de back-end de integración de API, respuestas del autorizador de lambda y requestId para los puntos de conexión de integración de AWS.

Gravedad: media

Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo.

Descripción: este control comprueba si todos los métodos de las fases de API Gateway REST API que tienen habilitada la caché están cifradas. Se produce un error en el control si algún método de una fase de la API de REST de API Gateway está configurado para almacenar en caché y la memoria caché no está cifrada. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. Agrega otro conjunto de controles de acceso para limitar la capacidad de acceso de los usuarios no autorizados a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer. Las memorias caché de la API de REST de API Gateway deben cifrarse en reposo para una capa de seguridad adicional.

Gravedad: media

Las fases de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación back-end

Descripción: este control comprueba si las fases de la API REST de Amazon API Gateway tienen certificados SSL configurados. Los sistemas back-end usan estos certificados para autenticar que las solicitudes entrantes son de API Gateway. Las fases de la API de REST de API Gateway deben configurarse con certificados SSL para permitir que los sistemas back-end autentiquen que las solicitudes proceden de API Gateway.

Gravedad: media

Las fases de la API de REST de API Gateway deben tener habilitado el seguimiento de AWS X-Ray.

Descripción: este control comprueba si el seguimiento activo de AWS X-Ray está habilitado para las fases de la API REST de Amazon API Gateway. El seguimiento activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían dar lugar a una falta de disponibilidad de la API. El seguimiento activo de X-Ray proporciona métricas en tiempo real de las solicitudes de usuario que fluyen a través de los servicios conectados y las operaciones de la API de REST de API Gateway.

Gravedad: baja

API Gateway debe asociarse con una ACL Web de AWS WAF

Descripción: este control comprueba si una fase de puerta de enlace de API usa una lista de control de acceso web (ACL) de AWS WAF. Este control genera un error si una ACL web de AWS WAF no está asociada a una fase de API Gateway de REST. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API frente a ataques. Permite configurar una ACL, que es un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la fase de API Gateway está asociada a una ACL web de AWS WAF para ayudar a protegerla frente a ataques malintencionados.

Gravedad: media

El registro de los equilibradores de carga clásicos y de aplicaciones debe estar habilitado.

Descripción: este control comprueba si la instancia de Application Load Balancer y el equilibrador de carga clásico tienen habilitado el registro. El control produce un error si access_logs.s3.enabled es false. Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de acceso de solicitud y las respuestas del servidor. Puede usar los registros de acceso para analizar los patrones de tráfico y solucionar problemas. Para más información, consulte Acceso a registros para su equilibrador de carga clásico en la guía del usuario de equilibradores de carga clásicos.

Gravedad: media

Los volúmenes de EBS conectados deben cifrarse en reposo.

Descripción: este control comprueba si los volúmenes EBS que están en un estado adjunto están cifrados. Para pasar esta comprobación, los volúmenes de EBS deben estar en uso y cifrados. Si el volumen de EBS no está asociado, no está sujeto a esta comprobación. Para obtener una capa de seguridad adicional de los datos confidenciales en los volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. El cifrado de Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no requieren que compile, mantenga y proteja su propia infraestructura de administración de claves. Usa las claves maestras de cliente (CMK) de AWS KMS al crear volúmenes e instantáneas cifrados. Para más información sobre el cifrado de Amazon EBS, vea Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.

Gravedad: media

Las instancias de replicación de AWS Database Migration Service no deben ser públicas.

Descripción: para proteger las instancias replicadas frente a amenazas. Una instancia de replicación privada debe tener una dirección IP privada a la que no se pueda acceder fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y de destino se encuentran en la misma red y la red está conectada a la VPC de la instancia de replicación mediante una VPN, AWS Direct Connect o el emparejamiento de VPC. También debe asegurarse de que el acceso a la configuración de la instancia de AWS DMS se limita solo a los usuarios autorizados. Para ello, restrinja los permisos IAM de los usuarios para modificar la configuración y los recursos de AWS DMS.

Gravedad: alta

Los agentes de escucha del equilibrador de carga clásico deben configurarse con terminación HTTPS o TLS.

Descripción: este control comprueba si los agentes de escucha de Load Balancer clásicos están configurados con el protocolo HTTPS o TLS para las conexiones front-end (cliente a equilibrador de carga). El control es aplicable si un equilibrador de carga clásico tiene agentes de escucha. Si el equilibrador de carga clásico no tiene configurado un agente de escucha, el control no informa de ningún resultado. El control se pasa si los agentes de escucha del equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end. El control genera un error si el agente de escucha no está configurado con TLS o HTTPS para las conexiones front-end. Antes de empezar a usar un equilibrador de carga, debe agregar uno o varios agentes de escucha. Un agente de escucha es un proceso que usa el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los agentes de escucha pueden admitir los protocolos HTTP y HTTPS/TLS. Siempre debe usar un agente de escucha HTTPS o TLS, para que el equilibrador de carga haga el trabajo de cifrado y descifrado en tránsito.

Gravedad: media

Los equilibradores de carga clásicos deben tener habilitado el drenaje de conexiones.

Descripción: este control comprueba si los equilibradores de carga clásicos tienen habilitada la purga de conexiones. La habilitación del purgado de conexiones en equilibradores de carga clásico garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que se anulen el registro o estén en mal estado. Mantiene abiertas las conexiones existentes. Esto es útil para las instancias de los grupos de escalado automático, para asegurarse de que las conexiones no se interrumpan repentinamente.

Gravedad: media

Las distribuciones de CloudFront deben tener habilitado AWS WAF

Descripción: este control comprueba si las distribuciones de CloudFront están asociadas a las ACL web de AWS WAF o AWS WAFv2. Se produce un error en el control si la distribución no está asociada a una ACL web. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API frente a ataques. Permite configurar un conjunto de reglas, denominada lista de control de acceso web (ACL web), que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la distribución de CloudFront está asociada a una ACL web de AWS WAF para ayudar a protegerla frente a ataques malintencionados.

Gravedad: media

Las distribuciones de CloudFront deben tener habilitado el registro.

Descripción: este control comprueba si el registro de acceso al servidor está habilitado en distribuciones de CloudFront. Se produce un error en el control si el registro de acceso no está habilitado para una distribución. Los registros de acceso de CloudFront proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y hora en que se recibió la solicitud, la dirección IP del visor que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del visor. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso e investigación forense. Para obtener más información sobre cómo analizar los registros de acceso, consulte Consulta de registros de Amazon CloudFront en la Guía del usuario de Amazon Athena.

Gravedad: media

Las distribuciones de CloudFront deben requerir el cifrado en tránsito.

Descripción: este control comprueba si una distribución de Amazon CloudFront requiere que los visores usen HTTPS directamente o si usa el redireccionamiento. Se produce un error en el control si ViewerProtocolPolicy está establecido en allow-all para defaultCacheBehavior o para cacheBehaviors. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS.

Gravedad: media

Los registros de CloudTrail deben estar cifrados en reposo mediante CMK de KMS.

Descripción: se recomienda configurar CloudTrail para usar SSE-KMS. La configuración de CloudTrail para usar SSE-KMS proporciona controles de confidencialidad adicionales en los datos de registro, ya que un usuario determinado debe tener un permiso de lectura de S3 en el cubo de registro correspondiente y la directiva de CMK debe conceder permiso de descifrado.

Gravedad: media

Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito.

Descripción: este control comprueba si se requieren conexiones a clústeres de Amazon Redshift para usar el cifrado en tránsito. Se produce un error en la comprobación si el parámetro del clúster de Amazon Redshift require_SSL no está establecido en 1. TLS se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS.

Gravedad: media

Las conexiones a dominios de Elasticsearch deben cifrarse mediante TLS 1.2.

Descripción: este control comprueba si se requieren conexiones a dominios de Elasticsearch para usar TLS 1.2. Se produce un error en la comprobación si el dominio de Elasticsearch TLSSecurityPolicy no es Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a versiones anteriores de TLS.

Gravedad: media

Las tablas de DynamoDB deben tener habilitada la recuperación a un momento dado.

Descripción: este control comprueba si la recuperación a un momento dado (PITR) está habilitada para una tabla de Amazon DynamoDB. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resistencia de los sistemas. La recuperación a un momento dado de DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación de las operaciones accidentales de eliminación o escritura. Las tablas de DynamoDB que tienen PITR habilitado se pueden restaurar a cualquier momento dado en los últimos 35 días.

Gravedad: media

El cifrado predeterminado de EBS debe estar habilitado.

Descripción: este control comprueba si el cifrado de nivel de cuenta está habilitado de forma predeterminada para Amazon Elastic Block Store (Amazon EBS). Se produce un error en el control si el cifrado de nivel de cuenta no está habilitado. Cuando el cifrado está habilitado para su cuenta, las copias de instantáneas y los volúmenes de Amazon EBS se cifran en reposo. Esto agrega otra capa de protección para los datos. Para más información, vea Cifrado predeterminado en la Guía del usuario de Amazon EC2 para instancias de Linux.

Los siguientes tipos de instancia no admiten el cifrado: R1, C1 y M1.

Gravedad: media

Los entornos Elastic Beanstalk deben tener habilitados los informes de estado mejorados.

Descripción: este control comprueba si los informes de estado mejorados están habilitados para los entornos de AWS Elastic Beanstalk. Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían generar una falta de disponibilidad de la aplicación. Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para medir la gravedad de los problemas identificados e identificar las posibles causas que hay que investigar. El agente de mantenimiento de Elastic Beanstalk, incluido en las imágenes de máquina de Amazon (AMI) compatibles, evalúa los registros y las métricas de las instancias de EC2 del entorno.

Gravedad: baja

Las actualizaciones de la plataforma administrada Elastic Beanstalk deben estar habilitadas.

Descripción: este control comprueba si las actualizaciones de la plataforma administrada están habilitadas para el entorno de Elastic Beanstalk. La habilitación de las actualizaciones de la plataforma administrada garantiza la instalación de las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.

Gravedad: alta

Elastic Load Balancer no debe tener el certificado ACM expirado o que expire en 90 días.

Descripción: esta comprobación identifica los equilibradores de carga elásticos (ELB) que usan certificados ACM expirados o que expiran en 90 días. AWS Certificate Manager (ACM) es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidor. Con ACM. Puede solicitar un certificado o implementar un certificado ACM o externo existente en los recursos de AWS. Como procedimiento recomendado, se recomienda volver a importar certificados expirados o en proceso de expiración, a la vez que se conservan las asociaciones de ELB del certificado original.

Gravedad: alta

Se debe habilitar el registro de errores de dominios de Elasticsearch en CloudWatch Logs.

Descripción: este control comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a CloudWatch Logs. Debe habilitar los registros de errores para los dominios de Elasticsearch y enviarlos a los registros de CloudWatch para fines de retención y respuesta. Los registros de errores de dominio pueden ayudar con las auditorías de seguridad y acceso, así como con el diagnóstico de problemas de disponibilidad.

Gravedad: media

Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados.

Descripción: este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos maestros dedicados. Se produce un error en este control si el dominio no usa nodos maestros dedicados. Este control se supera si los dominios de Elasticsearch tienen cinco nodos maestros dedicados. Sin embargo, el uso de más de tres nodos maestros podría no ser necesario para mitigar el riesgo de disponibilidad y generará costos adicionales. Un dominio de Elasticsearch requiere al menos tres nodos maestros dedicados para alta disponibilidad y tolerancia a errores. Los recursos de nodo maestro dedicados se pueden forzar durante las implementaciones azul/verde del nodo de datos porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos maestros dedicados garantiza suficiente capacidad de recursos de nodos maestros y operaciones de clúster si se produce un error algún un nodo.

Gravedad: media

Los dominios de Elasticsearch deben tener al menos tres nodos de datos.

Descripción: este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y zoneAwarenessEnabled es true. Un dominio de Elasticsearch requiere al menos tres nodos de datos dedicados para alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster si se produce un error en algún nodo.

Gravedad: media

Los dominios de Elasticsearch deben tener habilitado el registro de auditoría.

Descripción: este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control genera un error si los dominios de Elasticsearch no tienen habilitado el registro de auditoría. Los registros de auditoría son muy personalizables. Le permiten realizar un seguimiento de la actividad del usuario en los clústeres de Elasticsearch, incluidos los éxitos y errores de autenticación, las solicitudes a OpenSearch, los cambios de índice y las consultas de búsqueda entrantes.

Gravedad: media

La supervisión mejorada debe configurarse para los clústeres y las instancias de base de datos de RDS

Descripción: este control comprueba si la supervisión mejorada está habilitada para las instancias de base de datos de RDS. En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios de rendimiento podrían provocar una falta de disponibilidad de los datos. La supervisión mejorada proporciona métricas en tiempo real del sistema operativo en el que se ejecuta la instancia de base de datos de RDS. Se instala un agente en la instancia. El agente puede obtener las métricas con más precisión de lo que es posible desde la capa de hipervisor. Las métricas de supervisión mejorada son útiles cuando desea ver cómo los distintos procesos o subprocesos de una instancia de base de datos usan la CPU. Para más información, vea Supervisión mejorada en la Guía del usuario de Amazon RDS.

Gravedad: baja

Asegúrese de que la rotación de las CMK creadas por el cliente está habilitada.

Descripción: AWS Servicio de administración de claves (KMS) permite a los clientes rotar la clave de respaldo, que es el material clave almacenado dentro del KMS que está vinculado al identificador de clave de la clave maestra de cliente creada por el cliente (CMK). Es la clave de respaldo que se usa para realizar operaciones criptográficas, como el cifrado y descifrado. La rotación automatizada de claves conserva actualmente todas las claves de respaldo anteriores, para que el descifrado de datos cifrados pueda realizarse de forma transparente. Se recomienda habilitar la rotación de claves de CMK. La rotación de claves de cifrado ayuda a reducir el posible impacto de una clave en peligro, ya que no se puede acceder a los datos cifrados con una nueva clave con una clave anterior que podría haberse expuesto.

Gravedad: media

Asegúrese de que el registro de acceso al cubo de S3 esté habilitado en el cubo de S3 de CloudTrail

Descripción: el registro de acceso al cubo S3 genera un registro que contiene registros de acceso Asegurarse de que el registro de acceso al cubo de S3 está habilitado en el cubo de CloudTrail S3 para cada solicitud realizada en el cubo S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud procesada y la hora y fecha en que se procesó la solicitud. Se recomienda habilitar el registro de acceso al cubo en el cubo de S3 de CloudTrail. Al habilitar el registro de cubos de S3 en depósitos S3 de destino, es posible capturar todos los eventos, lo que podría afectar a los objetos dentro de los cubos de destino. La configuración de registros para colocarlos en un cubo independiente permite el acceso a la información de registro, que puede ser útil en los flujos de trabajo de seguridad y respuesta a incidentes.

Gravedad: baja

Asegúrese de que el cubo de S3 que se usa para almacenar los registros de CloudTrail no sea accesible públicamente.

Descripción: CloudTrail registra un registro de cada llamada API realizada en su cuenta de AWS. Estos archivos de registro se almacenan en un cubo de S3. Se recomienda que la directiva de cubo o la lista de control de acceso (ACL) se apliquen al cubo S3 que Registra CloudTrail para evitar el acceso público a los registros de CloudTrail. Permitir el acceso público al contenido del registro de CloudTrail podría ayudar a un adversario a identificar puntos débiles en el uso o la configuración de la cuenta afectada.

Gravedad: alta

IAM no debe tener certificados SSL/TLS expirados

Descripción: esta comprobación identifica los certificados SSL/TLS expirados. Para habilitar las conexiones HTTPS a su sitio web o aplicación en AWS, necesita un certificado de servidor SSL/TLS. Puede usar ACM o IAM para almacenar e implementar certificados de servidor. La eliminación de certificados SSL/TLS expirados suprime el riesgo de que un certificado no válido se implemente accidentalmente en un recurso como AWS Elastic Load Balancer (ELB), lo que puede dañar la credibilidad de la aplicación o el sitio web que está detrás del ELB. Esta comprobación genera alertas si hay certificados SSL/TLS expirados almacenados en AWS IAM. Como procedimiento recomendado, se recomienda eliminar los certificados expirados.

Gravedad: alta

Los certificados de ACM importados deben renovarse después de un período de tiempo especificado.

Descripción: este control comprueba si los certificados ACM de la cuenta están marcados para su expiración en un plazo de 30 días. Comprueba los certificados importados y los certificados proporcionados por AWS Certificate Manager. ACM puede renovar automáticamente los certificados que usan la validación de DNS. Para los certificados que usan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACM tampoco renueva automáticamente los certificados importados. Debe renovarlos manualmente. Para más información sobre la renovación administrada de certificados de ACM, vea Renovación administrada para certificados de ACM en la Guía del usuario de AWS Certificate Manager.

Gravedad: media

Se deben investigar las identidades sobreaprovisionadas en las cuentas para reducir el índice de autorización de permisos (PCI)

Descripción: las identidades sobreaprovisionadas en cuentas deben investigarse para reducir el Índice de creep de permisos (PCI) y para proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. Pci elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario.

Gravedad: media

Las actualizaciones de versiones secundarias automáticas de RDS deben estar habilitadas.

Descripción: este control comprueba si las actualizaciones automáticas de versiones secundarias están habilitadas para la instancia de base de datos de RDS. La habilitación de actualizaciones automáticas de versiones secundarias garantiza la instalación de las últimas actualizaciones de versión secundaria del sistema de administración de bases de datos relacionales (RDBMS). Estas actualizaciones pueden incluir actualizaciones de seguridad y correcciones de errores. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.

Gravedad: alta

Las instantáneas de clúster y de base de datos de RDS deben cifrarse en reposo.

Descripción: este control comprueba si las instantáneas de base de datos de RDS están cifradas. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado obtenga acceso a los datos almacenados en el disco. Los datos de las instantáneas de RDS se deben cifrar en reposo para una capa de seguridad adicional.

Gravedad: media

Los clústeres de RDS deben tener habilitada la protección contra eliminación.

Descripción: este control comprueba si los clústeres de RDS tienen habilitada la protección de eliminación. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. Habilitar la protección de eliminación de clústeres es otro nivel de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada. Cuando se habilita la protección contra la eliminación, no se puede eliminar un clúster de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, es necesario deshabilitar la protección contra la eliminación.

Gravedad: baja

Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad.

Descripción: los clústeres de base de datos de RDS deben configurarse para varios de los datos que se almacenan. La implementación en varias zonas de disponibilidad permite la automatización de estas para garantizar que la conmutación por error esté disponible incluso en caso de un problema de disponibilidad o durante el mantenimiento periódico de RDS.

Gravedad: media

Los clústeres de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas.

Descripción: la identificación e inventario de los recursos de TI es un aspecto fundamental de la gobernanza y la seguridad. Debe tener visibilidad de todos los clústeres de base de datos de RDS para poder evaluar su posición de seguridad y actuar ante posibles puntos débiles. Las instantáneas se deben etiquetar de la misma manera que sus clústeres de bases de datos de RDS primarios. La habilitación de esta configuración garantiza que las instantáneas hereden las etiquetas de sus clústeres de base de datos primarios.

Gravedad: baja

Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas.

Descripción: este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas en instantáneas cuando se crean las instantáneas. La identificación y el inventario de los recursos de TI es un aspecto fundamental de la gobernanza y la seguridad. Debe tener visibilidad de todas las instancias de base de datos de RDS para poder evaluar su posición de seguridad y actuar ante posibles puntos débiles. Las instantáneas se deben etiquetar de la misma manera que sus instancias de bases de datos de RDS primarias. La habilitación de esta configuración garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos primarios.

Gravedad: baja

Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad.

Descripción: este control comprueba si la alta disponibilidad está habilitada para las instancias de base de datos de RDS. Las instancias de base de datos de RDS deben configurarse para varias zonas de disponibilidad. Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones multi-AZ permiten la conmutación por error automatizada si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento normal de RDS.

Gravedad: media

Las instancias de base de datos de RDS deben tener habilitada la protección contra eliminación.

Descripción: este control comprueba si las instancias de base de datos de RDS que usan uno de los motores de base de datos enumerados tienen habilitada la protección de eliminación. Habilitar la protección de eliminación de instancias es otra capa de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada. Mientras la protección contra eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, es necesario deshabilitar la protección contra la eliminación.

Gravedad: baja

Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo.

Descripción: este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. Para obtener una capa de seguridad adicional para los datos confidenciales de las instancias de base de datos de RDS, debe configurarlas para que se cifren en reposo. Para cifrar las instancias e instantáneas de base de datos de RDS en reposo, habilite la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente para las instancias de base de datos, sus copias de seguridad automatizadas, réplicas de lectura e instantáneas. Las instancias de base de datos cifradas de RDS usan el algoritmo de cifrado AES-256 estándar abierto para cifrar los datos en el servidor que hospeda las instancias de base de datos de RDS. Una vez cifrados los datos, Amazon RDS controla la autenticación del acceso y descifrado de los datos de forma transparente con un impacto mínimo en el rendimiento. No es necesario modificar las aplicaciones cliente de base de datos para usar el cifrado. El cifrado de Amazon RDS está disponible actualmente para todos los motores de base de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancia de base de datos. Para obtener información sobre las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte Cifrado de recursos de Amazon RDS en la Guía del usuario de Amazon RDS.

Gravedad: media

Las instancias de base de datos de RDS deben prohibir el acceso público.

Descripción: se recomienda asegurarse también de que el acceso a la configuración de la instancia de RDS solo está limitado a los usuarios autorizados, al restringir los permisos de IAM de los usuarios para modificar la configuración y los recursos de las instancias de RDS.

Gravedad: alta

Las instantáneas de RDS deben prohibir el acceso público.

Descripción: solo se recomienda permitir que las entidades de seguridad autorizadas accedan a la instantánea y cambien la configuración de Amazon RDS.

Gravedad: alta

Quitar secretos de Secrets Manager sin usar.

Descripción: este control comprueba si se ha accedido a los secretos en un número especificado de días. El valor predeterminado es 90 días. Si no se ha accedido a un secreto durante el número definido de días, se produce un error en este control. La eliminación de secretos sin usar es tan importante como la rotación de secretos. Los usuarios anteriores, que ya no necesitan acceder a estos secretos, pueden abusar de los secretos sin usar. Además, a medida que más usuarios obtienen acceso a un secreto, es posible que alguien lo haya manipulado incorrectamente y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. La eliminación de secretos sin usar ayuda a revocar el acceso al secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo del uso del Administrador de secretos. Por lo tanto, es esencial eliminar periódicamente los secretos sin usar.

Gravedad: media

Los cubos de S3 deben tener habilitada la replicación entre regiones.

Descripción: habilitar la replicación entre regiones de S3 garantiza que hay varias versiones de los datos disponibles en diferentes regiones. Esto le permite proteger el cubo de S3 frente a ataques DDoS y a eventos de datos dañados.

Gravedad: baja

Los cubos de S3 deben tener habilitado el cifrado del lado servidor.

Descripción: habilite el cifrado del lado servidor para proteger los datos en los cubos de S3. El cifrado de los datos puede impedir el acceso a datos confidenciales en caso de una vulneración de datos.

Gravedad: media

Los secretos del Administrador de secretos configurados con el cambio automático deben cambiarse correctamente.

Descripción: este control comprueba si un secreto de AWS Secrets Manager gira correctamente en función de la programación de rotación. Se produce un error en el control si RotationOccurringAsScheduled es false. El control no evalúa los secretos que no tienen configurada la rotación. Secrets Manager le ayuda a mejorar la posición de seguridad de su organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrar secretos automáticamente, controlar el acceso a los secretos y rotar secretos de forma segura y automática. Secrets Manager puede rotar los secretos. Puede usar la rotación para reemplazar secretos a largo plazo por otros a corto plazo. La rotación de secretos limita cuánto tiempo un usuario no autorizado puede usar un secreto en peligro. Por este motivo, debe rotar los secretos con frecuencia. Además de configurar los secretos para que se roten automáticamente, debe asegurarse de que esos secretos rotan correctamente en función de la programación de rotación. Para más información sobre la rotación, vea Rotar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Gravedad: media

Los secretos de Secrets Manager deben rotarse en un número especificado de días.

Descripción: este control comprueba si los secretos se han girado al menos una vez en un plazo de 90 días. La rotación de secretos puede ayudarle a reducir el riesgo de un uso no autorizado de los secretos en su cuenta de AWS. Algunos ejemplos son credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia los secretos durante un largo período de tiempo, es más probable que los secretos estén en peligro. Mientras más usuarios obtengan acceso a un secreto, más probabilidad habrá de que alguien lo manipule incorrectamente y lo filtre a alguna entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Se pueden compartir con fines de depuración y no cambiarse ni revocarse una vez completada la depuración. Por todas estas razones, los secretos se deben rotar con frecuencia. Puede configurar los secretos para la rotación automática en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo por otros a corto plazo, lo que reduce significativamente el riesgo de vulneración. Security Hub recomienda habilitar la rotación de los secretos de Secrets Manager. Para más información sobre la rotación, vea Rotar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Gravedad: media

Los temas de SNS deben cifrarse en reposo mediante AWS KMS.

Descripción: este control comprueba si un tema de SNS está cifrado en reposo mediante AWS KMS. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. Esto también agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer. Los temas de SNS deben cifrarse en reposo para una capa de seguridad adicional. Para más información, vea Cifrado en reposo en la Guía para desarrolladores de Amazon Simple Notification Service.

Gravedad: media

El registro de flujo de VPC debe estar habilitado en todos los VPC.

Descripción: Los registros de flujo de VPC proporcionan visibilidad sobre el tráfico de red que pasa a través de la VPC y se pueden usar para detectar tráfico anómalo o información durante los eventos de seguridad.

Gravedad: media

Recomendaciones de datos de GCP

Asegúrese de que la marca de base de datos "3625 (marca de seguimiento)" de la instancia de SQL Server de Cloud SQL esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos "3625 (marca de seguimiento)" para la instancia de SQL Server en la nube en "desactivado". Las marcas de seguimiento se usan con frecuencia para diagnosticar problemas de rendimiento o para depurar procedimientos almacenados o sistemas informáticos complejos, pero también pueden recomendarse por Soporte técnico de Microsoft para abordar el comportamiento que afecta negativamente a una carga de trabajo específica. Todas las marcas de seguimiento documentadas y las recomendadas por Soporte técnico de Microsoft son totalmente compatibles en un entorno de producción cuando se usan como se indica. "3625(registro de seguimiento)" Limita la cantidad de información devuelta a los usuarios que no son miembros del rol fijo de servidor sysadmin, enmascarando los parámetros de algunos mensajes de error mediante "******". Esto puede ayudar a evitar la divulgación de información confidencial. Por lo tanto, se recomienda deshabilitar esta marca. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: media

Asegúrese de que la marca de base de datos "scripts externos habilitados" de la instancia de SQL Server de Cloud SQL esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos "scripts externos habilitados" para que la instancia de SQL Server en la nube se desactive. La marca "scripts externos habilitados" permite la ejecución de scripts con determinadas extensiones de lenguaje remoto. Esta propiedad está DESACTIVADA de forma predeterminada. El programa de instalación, opcionalmente, puede establecer esta propiedad en true si Advanced Analytics Services (Servicios de análisis avanzado) está instalado. Dado que la característica "Scripts externos habilitados" permite ejecutar scripts externos a SQL, como archivos ubicados en una biblioteca de R, lo que podría afectar negativamente a la seguridad del sistema, está opción se debe deshabilitar. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: alta

Asegúrese de que la marca de base de datos "acceso remoto" de la instancia de SQL Server de Cloud SQL esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos "acceso remoto" para la instancia de SQL Server en la nube en "desactivado". La opción "acceso remoto" controla la ejecución de procedimientos almacenados desde servidores locales o remotos en los que se ejecutan instancias de SQL Server. El valor predeterminado para esta opción es 1. Este valor concede el permiso para ejecutar los procedimientos almacenados locales desde servidores remotos o los procedimientos almacenados remotos desde el servidor local. Para evitar que los procedimientos almacenados locales se ejecuten desde un servidor remoto o que los procedimientos almacenados remotos se ejecuten en el servidor local, se debe deshabilitar esta opción. La opción Acceso remoto controla la ejecución de los procedimientos almacenados locales en servidores remotos o procedimientos almacenados remotos en el servidor local. Sería posible abusar de la funcionalidad "Acceso remoto" para iniciar un ataque por denegación de servicio (DoS) en servidores remotos mediante la descarga del procesamiento de consultas en un destino, por lo que se debe deshabilitar esta opción. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: alta

Asegúrese de que la marca de base de datos "skip_show_database" de la instancia de Mysql de Cloud SQL esté establecida en "activado".

Descripción: se recomienda establecer la marca de base de datos "skip_show_database" para la instancia de Mysql de SQL en "activado". La marca de base de datos "skip_show_database" impide que las personas usen la instrucción SHOW DATABASES si no tienen el privilegio SHOW DATABASES. Esto puede mejorar la seguridad si tiene dudas sobre si los usuarios pueden ver las bases de datos que pertenecen a otros usuarios. Su efecto depende del privilegio SHOW DATABASES: si el valor de la variable es ON, la instrucción SHOW DATABASES solo se permite a los usuarios que tienen el privilegio SHOW DATABASES y la instrucción muestra todos los nombres de base de datos. Si el valor es OFF, se permite la instrucción SHOW DATABASES a todos los usuarios, pero muestra los nombres solo de las bases de datos para las que el usuario tiene el privilegio SHOW DATABASES u otros privilegios. Esta recomendación es aplicable a las instancias de base de datos Mysql.

Gravedad: baja

Asegúrese de que se especifique una clave de cifrado administrada por el cliente (CMEK) predeterminada para todos los conjuntos de datos de BigQuery.

Descripción: BigQuery cifra de forma predeterminada los datos como reposo mediante el uso del cifrado de sobre mediante claves criptográficas administradas por Google. Los datos se cifran mediante las claves de cifrado de datos y las claves de cifrado de datos se cifran aún más mediante claves de cifrado de claves. Esto no supone problemas y no requiere ninguna entrada adicional del usuario. Sin embargo, si desea tener un mayor control, se pueden usar las claves de cifrado administradas por el cliente (CMEK) como solución de administración de claves de cifrado para conjuntos de datos de BigQuery. BigQuery cifra de manera predeterminada los datos en reposo mediante Envelope Encryption con claves criptográficas administradas por Google. Esto es sin problemas y no requiere ninguna entrada adicional del usuario. Para tener un mayor control sobre el cifrado, se pueden usar las claves de cifrado administradas por el cliente (CMEK) como solución de administración de claves de cifrado para conjuntos de datos de BigQuery. Al establecer una clave de cifrado administrada por el cliente (CMEK) predeterminada para un conjunto de datos, asegúrese de que las tablas creadas en el futuro usarán la clave CMEK especificada si no se proporciona ninguna otra.

Google no almacena las claves en sus servidores y no puede acceder a los datos protegidos a menos que proporcione la clave.

Esto también significa que si olvidas o pierdes tu clave, no hay forma de que Google recupere la clave o recupere los datos cifrados con la clave perdida.

Gravedad: media

Asegúrese de que todas las tablas BigQuery estén cifradas con la clave de cifrado administrada por el cliente (CMEK).

Descripción: BigQuery cifra de forma predeterminada los datos como reposo mediante el uso del cifrado de sobre mediante claves criptográficas administradas por Google. Los datos se cifran mediante las claves de cifrado de datos y las claves de cifrado de datos se cifran aún más mediante claves de cifrado de claves. Esto no supone problemas y no requiere ninguna entrada adicional del usuario. Sin embargo, si desea tener un mayor control, se pueden usar las claves de cifrado administradas por el cliente (CMEK) como solución de administración de claves de cifrado para conjuntos de datos de BigQuery. Si se usa CMEK, CMEK se usa para cifrar las claves de cifrado de datos en lugar de usar claves de cifrado administradas por Google. BigQuery cifra de manera predeterminada los datos en reposo mediante Envelope Encryption con claves criptográficas administradas por Google. Esto es sin problemas y no requiere ninguna entrada adicional del usuario. Para tener un mayor control sobre el cifrado, se pueden usar las claves de cifrado administradas por el cliente (CMEK) como solución de administración de claves de cifrado para las tablas de BigQuery. CMEK se usa para cifrar las claves de cifrado de datos en lugar de usar claves de cifrado administradas por Google. BigQuery almacena la tabla y la asociación de CMEK, y el cifrado y el descifrado se realizan automáticamente. La aplicación de las claves administradas por el cliente predeterminadas en conjuntos de datos de BigQuery garantiza que todas las tablas nuevas creadas en el futuro se cifrarán mediante CMEK, pero las tablas existentes se deben actualizar para usar CMEK individualmente.

Google no almacena las claves en sus servidores y no puede acceder a los datos protegidos a menos que proporcione la clave. Esto también significa que si olvidas o pierdes tu clave, no hay forma de que Google recupere la clave o recupere los datos cifrados con la clave perdida.

Gravedad: media

Asegúrese de que los conjuntos de datos de BigQuery no sean accesibles de forma anónima o pública.

Descripción: se recomienda que la directiva de IAM en conjuntos de datos de BigQuery no permita el acceso anónimo o público. Conceder permisos a allUsers o a allAuthenticatedUsers permite a cualquier usuario acceder al conjunto de datos. Es posible que este acceso no sea deseable si se almacenan datos confidenciales en el conjunto de datos. Por lo tanto, asegúrese de que no se permite el acceso anónimo o público a un conjunto de datos.

Gravedad: alta

Asegúrese de que las instancias de base de datos de Cloud SQL estén configuradas con copias de seguridad automatizadas.

Descripción: se recomienda tener todas las instancias de SQL Database establecidas para habilitar copias de seguridad automatizadas. Las copias de seguridad proporcionan una manera de restaurar una instancia de Cloud SQL para recuperar los datos perdidos o recuperarse de un problema con esa instancia. Se deben establecer las copias de seguridad automatizadas para cualquier instancia que contenga datos que se deben proteger frente a pérdidas o daños. Esta recomendación es aplicable a las instancias de SQL Server, PostgreSql, MySql generation 1 y MySql generation 2.

Gravedad: alta

Asegúrese de que las instancias de base de datos SQL en la nube no están abiertas al mundo

Descripción: El servidor de bases de datos solo debe aceptar conexiones de redes de confianza/direcciones IP y restringir el acceso del mundo. Para minimizar la superficie expuesta a ataques en una instancia del servidor de base de datos, solo se deben aprobar direcciones IP de confianza o conocidas y necesarias para conectarse a ella. Una red autorizada no debe tener direcciones IP o redes configuradas en 0.0.0.0.0/0, lo que permitirá el acceso a la instancia desde cualquier lugar del mundo. Tenga en cuenta que las redes autorizadas solo se aplican a instancias con direcciones IP públicas.

Gravedad: alta

Asegúrese de que las instancias de base de datos de Cloud SQL no tengan direcciones IP públicas.

Descripción: se recomienda configurar la instancia de Sql de segunda generación para usar direcciones IP privadas en lugar de direcciones IP públicas. Para reducir la superficie expuesta a ataques de la organización, las bases de datos SQL en la nube no deben tener direcciones IP públicas. Las direcciones IP privadas proporcionan una seguridad de red mejorada y una menor latencia para la aplicación.

Gravedad: alta

Asegúrese de que el cubo de Cloud Storage no sea accesible de forma anónima o pública.

Descripción: se recomienda que la directiva de IAM en el cubo de Almacenamiento en la nube no permita el acceso anónimo o público. Permitir el acceso anónimo o público concede permisos a cualquier persona para acceder al contenido del cubo. Es posible que no se desee este acceso si está almacenando datos confidenciales. Por lo tanto, asegúrese de que no se permite el acceso anónimo o público a un cubo.

Gravedad: alta

Asegúrese de que los cubos de Cloud Storage tengan habilitado un acceso uniforme a nivel de cubo

Descripción: se recomienda que el acceso uniforme de nivel de cubo esté habilitado en los cubos de Almacenamiento en la nube. Se recomienda usar el acceso uniforme de nivel de cubo para unificar y simplificar cómo conceder acceso a los recursos de Almacenamiento en la nube. Cloud Storage ofrece dos sistemas para conceder a los usuarios permiso para acceder a los cubos y los objetos: Cloud Identity and Access Management (Cloud IAM) y listas de control de acceso (ACL).
Estos sistemas actúan en paralelo: para que un usuario acceda a un recurso de Cloud Storage, solo es necesario que uno de los sistemas conceda el permiso de usuario. Cloud IAM se usa en Google Cloud y le permite conceder una variedad de permisos en los niveles de cubo y de proyecto. Las ACL solo se usan en Cloud Storage y tienen opciones de permisos limitadas, pero permiten conceder permisos por cada objeto.

Para admitir un sistema de permisos uniforme, Cloud Storage tiene acceso uniforme de nivel de cubo. El uso de esta característica deshabilita las ACL para todos los recursos de Cloud Storage: el acceso a los recursos de Cloud Storage se concede exclusivamente mediante Cloud IAM. La habilitación del acceso uniforme de nivel de cubo garantiza que, si un cubo de Almacenamiento no es accesible públicamente, tampoco se puede acceder públicamente a ningún objeto del cubo.

Gravedad: media

Asegúrese de que las instancias de proceso tengan habilitada la computación confidencial.

Descripción: Google Cloud cifra los datos en reposo y en tránsito, pero los datos de los clientes deben descifrarse para su procesamiento. La computación confidencial es una tecnología innovadora que cifra los datos en uso mientras se procesan. Los entornos de computación confidencial mantienen los datos cifrados en memoria y en otros lugares fuera de la unidad de procesamiento central (CPU). Las máquinas virtuales confidenciales aprovechan la característica Secure Encrypted Virtualization (SEV) de las CPU EPYC de AMD. Los datos del cliente permanecerán cifrados mientras se usan, indexan, consultan o entrenan. Las claves de cifrado se generan en hardware, por cada máquina virtual y no se pueden exportar. Gracias a las optimizaciones de hardware integradas tanto del rendimiento como de la seguridad, no hay ninguna penalización significativa del rendimiento en las cargas de trabajo de computación confidencial. La computación confidencial permite el código confidencial de los clientes y otros datos cifrados en memoria durante el procesamiento. Google no tiene acceso a las claves de cifrado. La máquina virtual confidencial puede ayudar a aliviar los problemas sobre el riesgo relacionado con la dependencia de la infraestructura de Google o el acceso de los usuarios internos de Google a los datos de los clientes sin cifrar.

Gravedad: alta

Asegúrese de que las directivas de retención de los cubos de registro se hayan configurado mediante el bloqueo del cubo.

Descripción: al habilitar las directivas de retención en los cubos de registro, se protegerán los registros almacenados en depósitos de almacenamiento en la nube para que se sobrescriban o eliminen accidentalmente. Se recomienda configurar las directivas de retención y configurar el bloqueo de depósito en todos los cubos de almacenamiento que se usan como receptores de registro. Los registros se pueden exportar mediante la creación de uno o varios receptores que incluyan un filtro de registro y un destino. A medida que el registro de Stackdriver recibe nuevas entradas de registro, se comparan con cada receptor. Si una entrada de registro coincide con el filtro de un receptor, se escribe una copia de la entrada de registro en el destino. Los receptores se pueden configurar para exportar los registros en cubos de almacenamiento. Se recomienda configurar una directiva de retención de datos para estos cubos de almacenamiento en la nube y bloquear la directiva de retención de datos; por lo tanto, impide permanentemente que la directiva se reduzca o quite. De este modo, si el sistema se ve en peligro por parte de un atacante o un usuario interno malintencionado que quiere cubrir sus pistas, los registros de actividad se conservan definitivamente para las investigaciones forenses y de seguridad.

Gravedad: baja

Asegúrese de que la instancia de base de datos de Cloud SQL requiera que todas las conexiones entrantes usen SSL.

Descripción: se recomienda aplicar todas las conexiones entrantes a la instancia de SQL Database para usar SSL. SQL conexione de base de datos si se intercepta correctamente (MITM); puede revelar datos confidenciales, como credenciales, consultas de base de datos, salidas de consulta, etc. Por motivos de seguridad, se recomienda usar siempre el cifrado SSL al conectarse a la instancia. Esta recomendación es aplicable a las instancias de Postgresql, MySql generation 1 y MySql generation 2.

Gravedad: alta

Asegúrese de que la marca de base de datos "autenticación de base de datos independiente" para Cloud SQL en la instancia de SQL Server esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos "autenticación de base de datos independiente" para CLOUD SQL en la instancia de SQL Server establecida en "desactivado". Una base de datos independiente incluye toda la configuración de la base de datos y los metadatos necesarios para definir la base de datos y no tiene dependencias de configuración en la instancia de la Motor de base de datos donde está instalada la base de datos. Los usuarios pueden conectarse a la base de datos sin autenticar un inicio de sesión en el nivel de Motor de base de datos. Aislar la base de datos del Motor de base de datos permite moverla fácilmente a otra instancia de SQL Server. Las bases de datos independientes tienen algunas amenazas únicas que los administradores de Motor de base de datos de SQL Server deben comprender y mitigar. La mayoría de las amenazas están relacionadas con el proceso de autenticación de USUARIO CON CONTRASEÑA, que traslada el límite de autenticación del nivel de motor de base de datos al nivel de base de datos; por lo tanto, se recomienda deshabilitar esta marca. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: media

Asegúrese de que la marca de base de datos "encadenamiento de propiedad entre bases de datos" para la instancia de SQL Server de Cloud SQL esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos "encadenamiento de propiedad entre bases de datos" para la instancia de SQL Server de SQL Server en la nube en "desactivado". Use la opción "propiedad entre bases de datos" para encadenar para configurar el encadenamiento de propiedad entre bases de datos para una instancia de Microsoft SQL Server. Esta opción del servidor permite controlar el encadenamiento de propiedad entre bases de datos en el nivel de base de datos o permitir el encadenamiento de propiedad entre bases de datos para todas las bases de datos. No se recomienda habilitar la "propiedad entre bases de datos" a menos que todas las bases de datos hospedadas por la instancia de SQL Server deben participar en el encadenamiento de propiedad entre bases de datos y tenga en cuenta las implicaciones de seguridad de esta configuración. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: media

Asegúrese de que la marca de base de datos "local_infile" para una instancia de MySQL de Cloud SQL esté establecida en "desactivada".

Descripción: se recomienda establecer la marca de base de datos de local_infile para una instancia de MySQL de Cloud SQL en desactivado. La marca local_infile controla la funcionalidad LOCAL del lado servidor para las instrucciones LOAD DATA. En función de la configuración local_infile, el servidor rechaza o permite la carga de datos locales por parte de los clientes que tienen LOCAL habilitado en el lado cliente. Para hacer explícitamente que el servidor rechace las instrucciones LOAD DATA LOCAL (independientemente de cómo se configuran los programas y bibliotecas cliente en tiempo de compilación o en tiempo de ejecución), comience mysqld con local_infile deshabilitado. La opción local_infile también se puede establecer en tiempo de ejecución. Debido a problemas de seguridad asociados con la marca local_infile, se recomienda deshabilitarlo. Esta recomendación es aplicable a las instancias de base de datos MySQL.

Gravedad: media

Asegúrese de que haya un filtro de métricas de registro y alertas para detectar los cambios hechos en los permisos de IAM de Cloud Storage.

Descripción: se recomienda establecer un filtro de métricas y una alarma para los cambios de IAM del cubo de almacenamiento en la nube. La supervisión de los cambios en los permisos del cubo de almacenamiento en la nube podría reducir el tiempo necesario para detectar y corregir los permisos en los cubos y objetos de almacenamiento en la nube confidenciales dentro del cubo.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y alertas para detectar los cambios hechos en la configuración de la instancia de SQL.

Descripción: se recomienda establecer un filtro de métricas y una alarma para los cambios de configuración de la instancia de SQL. La supervisión de los cambios en la configuración de la instancia de SQL puede reducir el tiempo necesario para detectar y corregir errores de configuración realizados en SQL Server. A continuación se muestran algunas de las opciones configurables que podrían afectar a la posición de seguridad de una instancia de SQL:

• Habilitación de copias de seguridad automáticas y alta disponibilidad: la configuración incorrecta podría afectar negativamente a la continuidad empresarial, la recuperación ante desastres y la alta disponibilidad.
• Autorizar redes: la configuración incorrecta podría aumentar la exposición a redes que no son de confianza

Gravedad: baja

Asegúrese de que solo haya claves de cuenta de servicio administradas por GCP para cada cuenta de servicio.

Descripción: las cuentas de servicio administradas por el usuario no deben tener claves administradas por el usuario. Cualquier persona que tenga acceso a las claves podrá acceder a los recursos mediante la cuenta de servicio. Los servicios de Cloud Platform usan claves administradas por GCP, como App Engine y Compute Engine. Estas claves no se pueden descargar. Google mantendrá las claves y las rotará automáticamente aproximadamente cada semana. Las claves administradas por el usuario se crean, descargan y administran por parte de los usuarios. Expiran 10 años a partir de la creación. En el caso de las claves administradas por el usuario, el usuario debe tomar posesión de las actividades de administración de claves, entre las que se incluyen:

• Almacenamiento de claves
• Distribución de las claves
• Revocación de claves
• Rotación de claves
• Protección de claves de usuarios no autorizados
• Recuperación de claves

Incluso con precauciones de propietario de clave, las claves se pueden filtrar fácilmente por procedimientos de desarrollo menos óptimos, como comprobar las claves en el código fuente o dejarlas en el directorio Descargas, o dejarlas accidentalmente en blogs o canales de soporte técnico. Se recomienda evitar las claves de cuenta de servicio administradas por el usuario.

Gravedad: baja

Asegúrese de que la marca de base de datos "conexiones de usuario" para la instancia de SQL Server de Cloud SQL esté establecida de forma apropiada.

Descripción: se recomienda establecer la marca de base de datos "conexiones de usuario" para la instancia de SQL Server de Cloud SQL Server según el valor definido por la organización. La opción "conexiones de usuario" especifica el número máximo de conexiones de usuario simultáneas que se permiten en una instancia de SQL Server. El número real de conexiones de usuario permitidas también depende de la versión de SQL Server que use y también de los límites de la aplicación o de las aplicaciones y el hardware. SQL Server permite un máximo de 32 767 conexiones de usuario. Dado que las conexiones de usuario son una opción dinámica (autoconsejable), SQL Server ajusta automáticamente el número máximo de conexiones de usuario según sea necesario, hasta el valor máximo permitido. Por ejemplo, si solo 10 usuarios han iniciado una sesión, se asignan 10 objetos de conexión de usuario. En la mayoría de los casos, no es necesario cambiar el valor de esta opción. El valor predeterminado es 0, lo que significa que se permite un máximo de 32 767 conexiones de usuario. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: baja

Asegúrese de que la marca de base de datos "opciones de usuario" para la instancia de SQL Server de Cloud SQL no esté configurada.

Descripción: se recomienda que no se debe configurar la marca de base de datos "opciones de usuario" para la instancia de SQL Server de SQL Server en la nube. La opción "opciones de usuario" especifica valores predeterminados globales para todos los usuarios. Hay establecida una lista de opciones de procesamiento de consultas predeterminadas para la duración de la sesión de trabajo de un usuario. La configuración de opciones de usuario permite cambiar los valores predeterminados de las opciones SET (si la configuración predeterminada del servidor no es adecuada). El usuario puede suplantar estos valores predeterminados con la instrucción SET. Puede configurar la opción user options de manera dinámica para nuevos inicios de sesión. Después de cambiar la configuración de las opciones de usuario, las nuevas sesiones de inicio de sesión usan la nueva configuración; las sesiones de inicio de sesión actuales no se ven afectadas. Esta recomendación es aplicable a las instancias de base de datos SQL Server.

Gravedad: baja

El registro de clústeres de GKE debe estar habilitado.

Descripción: esta recomendación evalúa si la propiedad loggingService de un clúster contiene la ubicación que el registro en la nube debe usar para escribir registros.

Gravedad: alta

El control de versiones de objetos debe estar habilitado en los cubos de almacenamiento donde se configuran los receptores.

Descripción: esta recomendación evalúa si el campo habilitado de la propiedad de control de versiones del cubo está establecido en true.

Gravedad: alta

Las identidades sobreaprovisionadas en proyectos deben investigarse para reducir el índice de autorización de permisos (PCI).

Descripción: las identidades sobreaprovisionadas en los proyectos deben investigarse para reducir el Índice de creep de permisos (PCI) y para proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. Pci elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario.

Gravedad: media

Los proyectos que tienen claves criptográficas no deben tener usuarios con permisos de Propietario.

Descripción: esta recomendación evalúa la directiva de permiso de IAM en los metadatos del proyecto para roles asignados a entidades de seguridad o propietario.

Gravedad: media

Los cubos de almacenamiento que se usan como receptores de registros no deben ser de acceso público.

Descripción: esta recomendación evalúa la directiva de IAM de un cubo para las entidades de seguridad allUsers o allAuthenticatedUsers, que conceden acceso público.

Gravedad: alta

Contenido relacionado

• Más información sobre las recomendaciones de seguridad
• Revisión de las recomendaciones de seguridad