Línea de base de seguridad de Azure para Virtual Machines: Windows Virtual Machines
Esta base de referencia de seguridad aplica la guía de los estándares de seguridad en la nube de Microsoft versión 1.0 a Virtual Machines - Windows Virtual Machines. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Virtual Machines - Windows Virtual Machines.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota
características no aplicables a las máquinas virtuales: se han excluido las máquinas virtuales Windows. Para ver cómo Virtual Machines - Windows Virtual Machines se asigna completamente en el punto de referencia de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de referencia de seguridad de Virtual Machines - Windows Virtual Machines.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Virtual Machines: Windows Virtual Machines, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría del producto | Calcular |
| El cliente puede acceder a HOST/OS. | Acceso total |
| El servicio se puede implementar en la red virtual del cliente. | Verdadero |
| Almacena el contenido del cliente en reposo | Verdadero |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Seguridad de red.
NS-1: Establecer límites de segmentación de red
Funciones
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Referencia: Redes virtuales y máquinas virtuales en Azure
Soporte para grupos de seguridad de red
Descripción: El tráfico de red de servicio respeta la asignación de reglas de los grupos de seguridad de red en sus subredes. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico de la red virtual y los Azure Load Balancers.
Al crear una máquina virtual (VM) de Azure, debe crear una red virtual o usar una red virtual existente y configurar la máquina virtual con una subred. Asegúrese de que todas las subredes implementadas tienen aplicado un grupo de seguridad de red con controles de acceso de red específicos de los puertos y orígenes de confianza de las aplicaciones.
Referencia: Grupos de seguridad de red
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las recomendaciones de endurecimiento adaptativo de red deben aplicarse en máquinas virtuales expuestas a Internet | Azure Security Center analiza los patrones de tráfico de las máquinas virtuales accesibles desde Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la posible superficie expuesta a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Protección de servicios en la nube con controles de red
Funciones
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de la regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use servicios en el nivel de sistema operativo, como firewall de Windows Defender, para proporcionar filtrado de red para deshabilitar el acceso público.
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Funciones
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
notas de características: se crea una cuenta de administrador local de forma predeterminada durante la implementación inicial de la máquina virtual. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
IM-3: Administrar identidades de aplicación de forma segura y automática
Funciones
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
notas de características: la máquina virtual Windows suele aprovechar la identidad administrada para autenticarse en otros servicios. Si la máquina virtual Windows admite la autenticación de Azure AD, es posible que se admita la identidad administrada.
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Principales de servicio
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de características: Las aplicaciones que se ejecutan en la máquina virtual de Windows pueden usar las entidades de servicio.
Guía de Configuración: no hay ninguna guía actual de Microsoft para esta configuración de esta característica. Revise y determine si su organización quiere configurar esta característica de seguridad.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| La extensión de configuración de usuario invitado de las máquinas virtuales debe implementarse con la identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Las máquinas virtuales de Azure en el ámbito de esta directiva no serán compatibles cuando tengan instalada la extensión De configuración de invitado, pero no tengan una identidad administrada asignada por el sistema. Más información en https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Restringir el acceso a los recursos en función de las condiciones
Funciones
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de característica: Ahora puede usar Azure AD como plataforma de autenticación principal para conectarse mediante RDP a Windows Server 2019 Datacenter Edition y posteriores o a la versión 1809 de Windows 10 y posteriores. Después, puede controlar y aplicar de forma centralizada el control de acceso basado en rol (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.
Guía de Configuración: Defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
IM-8: Restringir la exposición de credenciales y secretos
Funciones
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de característica: Dentro del plano de datos o del sistema operativo, los servicios pueden llamar a Azure Key Vault para obtener credenciales o secretos.
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Funciones
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse en la medida de lo posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Referencia: Inicio rápido : Creación de una máquina virtual Windows en el portal de Azure
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Funciones
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de características: Use Azure AD como plataforma de autenticación principal para realizar RDP en Windows Server 2019 Datacenter Edition y versiones posteriores, o Windows 10 1809 y versiones posteriores. Después, puede controlar y aplicar de forma centralizada el control de acceso basado en rol (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.
Guía de configuración: con RBAC, especifique quién puede iniciar sesión en una máquina virtual como usuario normal o con privilegios de administrador. Cuando los usuarios se unan a su equipo, puede actualizar la directiva de RBAC de Azure para que la máquina virtual conceda acceso según corresponda. Cuando los empleados abandonan la organización y sus cuentas de usuario están deshabilitadas o eliminadas de Azure AD, ya no tienen acceso a los recursos.
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Funciones
Caja de seguridad del cliente
Descripción: Customer Lockbox se puede usar para el acceso al soporte técnico de Microsoft. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a sus datos, utilice Customer Lockbox de Microsoft para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft.
Protección de datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Funciones
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta funcionalidad no es compatible para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Funciones
Prevención de fuga o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Funciones
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
notas de características: determinados protocolos de comunicación, como SSH, se cifran de forma predeterminada. Sin embargo, otros servicios como HTTP deben configurarse para usar TLS para el cifrado.
Guía de Configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de datos en tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Referencia: Cifrado en tránsito en máquinas virtuales
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones a través de una red mediante el cifrado de una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Funciones
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
notas de características: de forma predeterminada, los discos administrados usan claves de cifrado administradas por la plataforma. Todos los discos administrados, instantáneas, imágenes y datos escritos en discos administrados existentes se cifran automáticamente con claves administradas por la plataforma.
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Referencia: Cifrado del lado del servidor de Azure Disk Storage: Claves administradas por la plataforma
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las máquinas virtuales deben cifrar los discos temporales, las memorias caché y los flujos de datos entre los recursos de proceso y almacenamiento | De forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple los requisitos de seguridad. Más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, ofertas de cifrado de disco diferentes: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | De forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; Los discos temporales y las cachés de datos no se cifran y los datos no se cifran al fluir entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directivas. Para obtener más información, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Funciones
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de características: Puede optar por gestionar el cifrado a nivel de cada disco administrado, con sus propias claves. Al especificar una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves administradas por el cliente ofrecen mayor flexibilidad para administrar los controles de acceso.
guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Los discos virtuales en máquinas virtuales (VM) se cifran en reposo mediante el cifrado del lado servidor o el cifrado de disco de Azure (ADE). Azure Disk Encryption aprovecha la característica BitLocker de Windows para cifrar discos administrados con claves administradas por el cliente dentro de la máquina virtual invitada. El cifrado del lado servidor con claves administradas por el cliente mejora ADE al permitirle usar cualquier tipo de sistema operativo e imágenes para las máquinas virtuales mediante el cifrado de datos en el servicio Storage.
Referencia: Cifrado del lado del servidor de Azure Disk Storage
DP-6: Uso de un proceso seguro de administración de claves
Funciones
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
DP-7: Uso de un proceso de administración de certificados seguro
Funciones
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: Esta característica no está soportada para asegurar este servicio.
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Funciones
Soporte técnico de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Azure Policy se puede usar para definir el comportamiento deseado para las máquinas virtuales Windows y las máquinas virtuales Linux de la organización. Mediante el uso de directivas, una organización puede aplicar varias convenciones y reglas en toda la empresa y definir e implementar configuraciones de seguridad estándar para Azure Virtual Machines. El cumplimiento del comportamiento deseado puede ayudar a mitigar el riesgo al contribuir al éxito de la organización.
Referencia: Definiciones integradas de Azure Policy para Azure Virtual Machines
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| las máquinas virtuales deben migrarse a nuevos recursos de Azure Resource Manager | Utilice el nuevo Azure Resource Manager para sus máquinas virtuales y proporcione mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso al almacén de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| las máquinas virtuales deben migrarse a nuevos recursos de Azure Resource Manager | Utilice el nuevo Azure Resource Manager para sus máquinas virtuales y proporcione mejoras de seguridad como: control de acceso más fuerte (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso a la bóveda de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
AM-5: Usar solo aplicaciones aprobadas en la máquina virtual
Funciones
Microsoft Defender for Cloud: controles de aplicaciones adaptables
Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicaciones adaptables en Microsoft Defender for Cloud. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Use controles de aplicaciones adaptables de Microsoft Defender for Cloud para detectar aplicaciones que se ejecutan en máquinas virtuales (VM) y generar una lista de aplicaciones permitidas para exigir qué aplicaciones aprobadas se pueden ejecutar en el entorno de máquinas virtuales.
Referencia: Usar controles de aplicación adaptables para reducir las superficies de ataque de sus máquinas
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite los controles de aplicación para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas y avisarle cuando se ejecuten otras aplicaciones. Esto ayuda a proteger las máquinas contra malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite los controles de aplicación para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas y avisarle cuando se ejecuten otras aplicaciones. Esto ayuda a proteger las máquinas contra malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Funciones
Oferta de Microsoft Defender para servicios o productos
Descripción: el servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Defender para servidores amplía la protección a las máquinas Windows y Linux que se ejecutan en Azure. Defender para servidores se integra con Microsoft Defender para punto de conexión para proporcionar detección y respuesta de puntos de conexión (EDR) y también proporciona una serie de características de protección contra amenazas adicionales, como líneas base de seguridad y evaluaciones de nivel del sistema operativo, examen de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de integridad de archivos (FIM) y mucho más.
Referencia: Planificación de la implementación de Defender para servidores
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. Protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos frente a una amplia variedad de vectores de ataque y comportamientos de bloqueo que se usan habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar sus requisitos de riesgo de seguridad y productividad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Habilitación del registro para la investigación de seguridad
Funciones
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Azure Monitor comienza a recopilar automáticamente datos de métricas para el host de máquina virtual al crear la máquina virtual. Sin embargo, para recopilar registros y datos de rendimiento del sistema operativo invitado de la máquina virtual, debe instalar el agente de Azure Monitor. Puede instalar el agente y configurar la recopilación mediante VM Insights o mediante la creación de una regla de recopilación de datos.
Referencia: Información general del agente de Log Analytics
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
Administración de posturas y vulnerabilidades
Para obtener más información, consulte el índice de seguridad en la nube de Microsoft: Gestión de posturas y vulnerabilidades.
PV-3: Definir y establecer configuraciones seguras para los recursos de proceso
Funciones
State Configuration de Azure Automation
Descripción: La Configuración de Estado de Azure Automation se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Use State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo.
Referencia: Configuración de una máquina virtual con Desired State Configuration
Agente de Configuración de Invitados de Azure Policy
Descripción: el agente de configuración de invitado de Azure Policy se puede instalar o implementar como una extensión para calcular los recursos. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de característica: La configuración de invitado de Azure Policy ahora se denomina configuración de máquina de Azure Automanage.
Guía de configuración: use el agente de configuración de invitado de Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.
Referencia: Descripción de la característica de configuración de la máquina de Azure Automanage
Imágenes de máquina virtual personalizadas
Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de Configuración: Use una imagen endurecida preconfigurada de un proveedor de confianza, como Microsoft, o cree una base de configuración segura deseada en la plantilla de imagen de VM.
Referencia: Tutorial: Creación de imágenes de máquina virtual de Windows con Azure PowerShell
PV-4: Auditar y aplicar configuraciones seguras para los recursos de proceso
Funciones
Máquina virtual de inicio seguro
Descripción: el inicio seguro protege frente a técnicas de ataque avanzadas y persistentes mediante la combinación de tecnologías de infraestructura como el arranque seguro, vTPM y la supervisión de integridad. Cada tecnología proporciona otra capa de defensa contra amenazas sofisticadas. El inicio seguro permite la implementación segura de máquinas virtuales con cargadores de arranque comprobados, kernels del sistema operativo y controladores, y protege de forma segura claves, certificados y secretos en las máquinas virtuales. El inicio seguro también aporta información y confianza en la integridad de toda la cadena de arranque y garantiza que las cargas de trabajo sean fiables y verificables. El arranque de confianza está integrado con Microsoft Defender for Cloud para garantizar que las máquinas virtuales estén configuradas correctamente, verificando de forma remota que las máquinas virtuales se inician de manera saludable. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Nota de característica: El inicio seguro está disponible en máquinas virtuales de segunda generación. El lanzamiento confiable requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Guía de configuración: se puede habilitar el inicio de confianza durante la implementación de la máquina virtual. Habilite las tres: arranque seguro, vTPM y supervisión de arranque de integridad para garantizar la mejor posición de seguridad para la máquina virtual. Tenga en cuenta que hay algunos requisitos previos, como la incorporación de la suscripción a Microsoft Defender for Cloud, la asignación de determinadas iniciativas de Azure Policy y la configuración de directivas de firewall.
Referencia: Implementación de una máquina virtual con el inicio seguro habilitado
PV-5: Realizar evaluaciones de vulnerabilidades
Funciones
Evaluación de vulnerabilidades mediante Microsoft Defender
Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender for Cloud u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios de Microsoft Defender (incluido Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure.
Referencia: Planificación de la implementación de Defender para servidores
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| debe habilitarse una solución de evaluación de vulnerabilidades en las máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente principal de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| debe habilitarse una solución de evaluación de vulnerabilidades en las máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente principal de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Corrección rápida y automática de vulnerabilidades
Funciones
Azure Update Manager
Descripción: el servicio puede usar Azure Update Manager para implementar revisiones y actualizaciones automáticamente. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Cliente |
Guía de configuración: use Azure Update Manager para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update se ha habilitado y establecido para actualizarse automáticamente.
Referencia: Administre las actualizaciones y los parches de las máquinas virtuales
Azure Guest Patching Service
Descripción: el servicio puede usar Azure Guest Patching para implementar revisiones y actualizaciones automáticamente. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: los servicios pueden aprovechar los distintos mecanismos de actualización, como las actualizaciones automáticas de imágenes del sistema operativo y las revisiones automáticas de invitado. Las funcionalidades se recomiendan para aplicar las actualizaciones críticas y de seguridad más recientes al sistema operativo invitado de la máquina virtual siguiendo los principios de implementación segura.
El parcheo automático de invitados permite evaluar y actualizar automáticamente las máquinas virtuales de Azure para mantener el cumplimiento de la seguridad con las actualizaciones críticas y de seguridad publicadas cada mes. Las actualizaciones se aplican durante las horas de poca actividad, incluidas las máquinas virtuales dentro de un conjunto de disponibilidad. Esta funcionalidad está disponible para la orquestación flexible de VMSS, con compatibilidad futura en la hoja de ruta para la orquestación uniforme.
Si ejecuta una carga de trabajo sin estado, las actualizaciones automáticas de imágenes del sistema operativo son ideales para aplicar la actualización más reciente para el uniforme de VMSS. Con la funcionalidad de reversión, estas actualizaciones son compatibles con Marketplace o imágenes personalizadas. Compatibilidad con futuras actualizaciones graduales en la hoja de ruta para la orquestación flexible.
Referencia: Aplicación automática de revisiones de invitado de máquina virtual en máquinas virtuales de Azure
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ClassicCompute
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las actualizaciones del sistema deben instalarse en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión previa]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualizaciones) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software suelen incluir revisiones críticas a los agujeros de seguridad. Estos agujeros se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Disabled | 1.0.0-preview |
Seguridad de los puntos de conexión
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Seguridad de puntos de conexión.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
Funciones
Solución EDR
Descripción: Una característica de detección y respuesta en puntos de conexión (EDR), como Azure Defender para servidores, puede implementarse en el punto de conexión. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Azure Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas. Usa Microsoft Defender para la nube para implementar Azure Defender para tus servidores y para tus endpoints, integrando las alertas en tu solución SIEM, como Azure Sentinel.
Referencia: Planificación de la implementación de Defender para servidores
ES-2: Usar software antimalware moderno
Funciones
Solución antimalware
Descripción: Las funciones antimalware, como Antivirus de Microsoft Defender y Microsoft Defender para el punto de conexión, pueden implementarse en el punto de conexión. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
guía de configuración: para Windows Server 2016 y versiones posteriores, Microsoft Defender para Antivirus está instalado de forma predeterminada. Para Windows Server 2012 R2 y versiones posteriores, los clientes pueden instalar SCEP (System Center Endpoint Protection). Como alternativa, los clientes también tienen la opción de instalar productos antimalware de terceros.
Referencia: Integración de Windows Server en Defender para punto de conexión
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de los puntos de conexión se deben resolver en las máquinas. | Resuelva los problemas de estado de Endpoint Protection en las máquinas virtuales para protegerlos frente a las amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de los puntos de conexión se deben resolver en las máquinas. | Resuelva los problemas de estado de Endpoint Protection en las máquinas virtuales para protegerlos frente a las amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Asegurarse de que se actualizan las firmas y el software antimalware
Funciones
Supervisión del estado de la solución antimalware
Descripción: La solución antimalware proporciona supervisión del estado de salud para la plataforma, el motor y las actualizaciones automáticas de firmas. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de característica: Las actualizaciones de productos e inteligencia de seguridad se aplican a Defender para puntos de conexión que se puede instalar en las máquinas virtuales de Windows.
Guía de configuración: configure la solución antimalware para asegurarse de que la plataforma, el motor y las firmas se actualizan de forma rápida y coherente y su estado se puede supervisar.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ClassicCompute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de los puntos de conexión se deben resolver en las máquinas. | Resuelva los problemas de estado de Endpoint Protection en las máquinas virtuales para protegerlos frente a las amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Definiciones integradas de Azure Policy: Microsoft.Compute:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los problemas de estado de protección de los puntos de conexión se deben resolver en las máquinas. | Resuelva los problemas de estado de Endpoint Protection en las máquinas virtuales para protegerlos frente a las amenazas y vulnerabilidades más recientes. Las soluciones de Protección de puntos de conexión compatibles con Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Funciones
Azure Backup
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
| Admitido | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: habilite Azure Backup y configure el origen de copia de seguridad (como Azure Virtual Machines, SQL Server, bases de datos de HANA o recursos compartidos de archivos) con una frecuencia deseada y con un período de retención deseado. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.
Referencia: Opciones de copia de seguridad y restauración de máquinas virtuales en Azure
Supervisión de Microsoft Defender for Cloud
Definiciones predefinidas de Azure Policy: Microsoft.Compute
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Backup debe estar habilitado para las máquinas virtuales | Para garantizar la protección de Azure Virtual Machines, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Pasos siguientes
- Consulte Información general sobre la prueba comparativa de la seguridad en la nube de Microsoft
- Más información sobre las líneas base de seguridad de Azure