Base de referencia de seguridad de Azure para Azure Data Manager for Energy
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Azure Data Manager for Energy. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Data Manager for Energy.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure Data Manager for Energy. Para ver cómo Azure Data Manager for Energy se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Data Manager for Energy.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Data Manager for Energy, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría de productos | |
| El cliente puede acceder a HOST / OS | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente | False |
| Almacena el contenido del cliente en reposo | True |
Seguridad de las redes
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: El tráfico de red de servicio respeta la asignación de reglas grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: La instancia de Azure Data Manager for Energy se puede conectar desde una red virtual a través de un punto de conexión privado, que es un conjunto de direcciones IP privadas en una subred dentro de la red virtual mediante Azure Private Link. El acceso a la instancia puede limitarse a través de estas direcciones IP privadas.
El punto de conexión privado se puede configurar durante el proceso de aprovisionamiento de instancias o después de la creación de la instancia. La instancia de Azure Data Manager for Energy configurada con Private Link se puede conectar mediante un método de aprobación automático o manual.
Referencia: Creación de un punto de conexión privado para Azure Data Manager for Energy Preview
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: deshabilite el acceso a la red pública alternando un conmutador para el acceso a la red pública.
Referencia: Creación de un punto de conexión privado para Azure Data Manager for Energy Preview
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure Data Manager for Energy usa la API de derechos y actúa como un sistema de autorización basado en grupo para particiones de datos en Azure Data Manager for Energy.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Administración de usuarios
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: actualmente, otros servicios pueden conectarse a Azure Data Manager for Energy mediante una identidad administrada asignada por el sistema o asignada por el usuario. Sin embargo, Azure Data Manager for Energy no admite identidades administradas asignadas por el sistema.
Guía de configuración: use identidades administradas de Azure para acceder al plano de datos o al plano de control de la instancia de Azure Data Manager for Energy desde otros servicios de Azure.
Entidad de servicio
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: una entidad de servicio se crea automáticamente durante el proceso de registro de la aplicación.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Inicio rápido: Creación de una instancia de Azure Data Manager for Energy Preview Preview
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: el acceso al plano de datos se administra a través del servicio de derechos.
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft.
Referencia: Uso de caja de seguridad del cliente para Azure Data Manager for Energy Preview
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de datos en tránsito
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: el cliente debe seleccionar las claves administradas de Microsoft (MMK) en la pestaña cifrado durante el aprovisionamiento de instancias de Azure Data Manager for Energy. La configuración de la clave no se puede editar una vez creada la instancia.
Guía de configuración: habilite el cifrado de datos en reposo mediante claves administradas por la plataforma (administradas por Microsoft) donde el servicio no lo configure automáticamente.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: los clientes solo pueden configurar CMK durante el aprovisionamiento de la instancia de Azure Data Manager for Energy. No se puede editar la configuración de CMK una vez creada la instancia.
Guía de configuración: el cifrado de datos en reposo protege los datos y ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente.
Referencia: Seguridad y cifrado de datos en Azure Data Manager for Energy
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure Key Vault se usa para almacenar la clave de cifrado administrada por el cliente.
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o riesgo de claves. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Seguridad y cifrado de datos en Azure Data Manager for Energy Preview
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución específica de La oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: habilite los registros de recursos para el servicio.
Nota: Azure Data Manager for Energy Preview admite la exportación de registros del servicio OSDU a Azure Monitor mediante una configuración de diagnóstico que ayuda a solucionar problemas, depurar y supervisar los servicios de OSDU. Los registros de auditoría proporcionan seguimientos de auditoría para las API del plano de datos en Azure Data Manager for Energy también están disponibles.
Referencia: Integración de registros del servicio OSDU con Azure Monitor
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.