Compartir a través de


Línea de base de seguridad de Azure para Azure Monitor

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 de Microsoft Cloud Security Benchmark a Azure Monitor. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Monitor.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.

Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Azure Monitor. Para ver cómo Azure Monitor se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Monitor.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Monitor, lo que puede dar lugar a un aumento de las consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos DevOps, Seguridad
El cliente puede acceder a HOST / OS Sin acceso
El servicio se puede implementar en la red virtual del cliente False
Almacena el contenido del cliente en reposo True

Seguridad de las redes

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente el servicio en una red virtual. Asigne direcciones IP privadas al recurso (si procede) a menos que haya una razón fuerte para asignar direcciones IP públicas directamente al recurso.

Referencia: Uso de Azure Private Link para conectar redes a Azure Monitor

Compatibilidad con grupos de seguridad de red

Descripción: El tráfico de red de servicio respeta la asignación de reglas grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.

Referencia: direcciones IP usadas por Azure Monitor

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: con Azure Private Link, puede vincular de forma segura los recursos de la plataforma como servicio (PaaS) de Azure a la red virtual mediante puntos de conexión privados. Azure Monitor es una constelación de diferentes servicios interconectados que funcionan conjuntamente para supervisar las cargas de trabajo. Private Link de Azure Monitor conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor, lo que define los límites de la red de supervisión. A esto se denomina ámbito de Private Link de Azure Monitor (AMPLS).

Referencia: Uso de Azure Private Link para conectar redes a Azure Monitor

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o un conmutador de alternancia para el acceso a la red pública. Consulte información adicional aquí: Uso del ámbito de Private Link de Azure Monitor (AMPLS)

Referencia: Uso de Azure Private Link para conectar redes a Azure Monitor

Administración de identidades

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: El agente de Azure Monitor usa MSI\AAD de forma predeterminada y se documenta aquí: Configuración del agente de Azure Log Analytics

Application Insights debe configurarse para aplicar AAD y se documenta aquí Autenticación de AAD de Application Insights

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Autenticación de Azure AD para Application Insights

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: la identidad administrada debe estar habilitada en máquinas virtuales de Azure antes de instalar el agente de Azure Monitor. Requisitos previos del agente de Azure Monitor

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Referencia: Autenticación de Azure AD para Application Insights

Entidad de servicio

Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: esto solo es aplicable a webHooks seguros.

Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.

Referencia: Creación y administración de grupos de acciones en Azure Portal

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.

Referencia: Introducción a la API de Log Analytics de Azure Monitor

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Roles, permisos y seguridad en Azure Monitor

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: solo está disponible cuando Log Analytics de Azure Monitor está configurado con un clúster dedicado.

Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft. Esto solo se aplica a los datos de registro en clústeres dedicados.

Referencia: Caja de seguridad del cliente (versión preliminar)

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: todo configurado de forma predeterminada, excepto la ingesta de datos.
Para Log Analytics

Para Application Insights

Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los datos de Azure Monitor son datos sobre el estado de los servicios y no están protegidos por caja de seguridad del cliente de forma predeterminada. Solo los registros se pueden proteger mediante caja de seguridad y solo para clústeres dedicados.

Guía de configuración: los datos de Azure Monitor están diseñados solo para los datos de estado del servicio y solo los datos de registro almacenados en clústeres dedicados permiten el uso de claves administradas por el cliente para el cifrado de datos en reposo. Si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Referencia: Clave administrada por el cliente de Azure Monitor

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar la configuración segura en los recursos de Azure.

Referencia: Creación de una configuración de diagnóstico a escala mediante Azure Policy

Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución específica de La oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Configuración de diagnóstico en Azure Monitor

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes