Introducción
Microsoft Defender for Cloud compara continuamente la configuración de los recursos con los requisitos de los estándares del sector, las regulaciones y los bancos de pruebas.
Para saber cómo la administración de la posición de seguridad evalúa su entorno, es importante conocer las iniciativas y directivas de seguridad.
¿Qué son las políticas e iniciativas de seguridad?
Microsoft Defender for Cloud aplica iniciativas de seguridad a las suscripciones. Estas iniciativas contienen una o varias directivas de seguridad. Cada una de esas directivas da como resultado una recomendación de seguridad para mejorar la posición de seguridad.
¿Qué es una directiva de seguridad?
Una definición de Azure Policy, creada en Azure Policy, es una regla sobre condiciones de seguridad específicas que quiere controlar. Las definiciones integradas incluyen elementos como el control del tipo de recursos que se pueden implementar o la aplicación del uso de etiquetas en todos los recursos. También puede crear su propia definición de directiva personalizada.
Para implementar estas definiciones de directiva (tanto integradas como personalizadas), es preciso asignarlas. Puede asignar cualquiera de estas directivas a través de Azure Portal, PowerShell o la CLI de Azure. Las directivas se pueden habilitar o deshabilitar desde Azure Policy.
Hay diferentes tipos de directivas en Azure Policy. Defender for Cloud utiliza principalmente directivas de "auditoría" que comprueban condiciones y configuraciones específicas y, luego, notifican el cumplimiento. También hay directivas de "aplicación" que se pueden usar para aplicar una configuración segura.
¿Qué es una iniciativa de seguridad?
Una iniciativa de Azure Policy es una colección de definiciones de Azure Policy, o reglas, agrupadas para satisfacer un objetivo o propósito concreto. Las iniciativas de Azure simplifican la administración de las directivas al agrupar conjuntos de directivas, de manera lógica, en un único elemento.
Una iniciativa de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o corporativos.
Al igual que las directivas de seguridad, las iniciativas de Defender for Cloud también se crean en Azure Policy. Puede usar Azure Policy para administrar las directivas y crear iniciativas y asignarlas a varias suscripciones o a grupos de administración completos.
La iniciativa predeterminada asignada automáticamente a todas las suscripciones en Microsoft Defender for Cloud es Azure Security Benchmark. Este punto de referencia es el conjunto de directrices específico de Azure y creado por Microsoft relativo a los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.
Defender for Cloud le ofrece las siguientes opciones para trabajar con iniciativas y directivas de seguridad:
Ver y editar la iniciativa predeterminada integrada: al habilitar Defender for Cloud, la iniciativa denominada "Azure Security Benchmark" se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud. Para personalizar esta iniciativa, puede habilitar o deshabilitar directivas individuales en ella mediante la edición de los parámetros de una directiva. Consulte la lista de directivas de seguridad integradas para comprender las opciones disponibles.
Agregar sus propias directivas personalizadas: si quiere personalizar las iniciativas de seguridad que se aplican a su suscripción, puede hacerlo en Defender for Cloud. Recibirá recomendaciones si las máquinas no siguen las directivas que haya creado. Para instrucciones sobre la creación y asignación de directivas personalizadas, consulte Uso de iniciativas y directivas de seguridad personalizadas.
Agregar estándares de cumplimiento normativo como iniciativas: el panel de cumplimiento normativo de Defender for Cloud muestra el estado de todas las evaluaciones del entorno, en el contexto de una normativa o estándar determinado (por ejemplo, Azure CIS, NIST SP 800-53 R4 o SWIFT CSP CSCF-v2020).
¿Qué es una recomendación de seguridad?
Defender for Cloud usa las directivas para analizar periódicamente el estado de cumplimiento de los recursos para identificar posibles configuraciones erróneas y puntos débiles de seguridad. Luego, proporciona recomendaciones sobre cómo corregir esos problemas. Las recomendaciones son el resultado de la evaluación de los recursos con respecto a las directivas pertinentes y la identificación de los recursos que no cumplen los requisitos definidos.
Defender for Cloud realiza sus recomendaciones de seguridad en función de las iniciativas elegidas. Cuando una directiva de su iniciativa se compara con sus recursos y encuentra una o más que no son compatibles, se presenta como una recomendación en Defender for Cloud.
Las recomendaciones son acciones que se deben llevar a cabo para proteger y consolidar los recursos. Cada recomendación proporciona la siguiente información:
- Descripción breve del problema
- Pasos de corrección que se deben llevar a cabo para implementar la recomendación.
- Recursos afectados.
Azure Security Benchmark es una iniciativa que contiene requisitos.
Por ejemplo, las cuentas de Azure Storage deben restringir el acceso a la red para reducir su superficie expuesta de ataques.
La iniciativa incluye varias directivas, cada una con un requisito de un tipo de recurso específico. Estas directivas aplican los requisitos en la iniciativa.
Para seguir con el ejemplo, el requisito de almacenamiento se aplica con la directiva "Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual".
Microsoft Defender for Cloud evalúa constantemente las suscripciones conectadas. Si detecta un recurso que no cumple una directiva, muestra una recomendación para corregir esa situación y reforzar la seguridad de los recursos que no cumplan los requisitos de seguridad.
Por ejemplo, si una cuenta de Azure Storage de alguna de sus suscripciones protegidas no está protegida con reglas de red virtual, aparecerá la recomendación para endurecer la seguridad de esos recursos.
Por lo tanto, (1) una iniciativa incluye (2) directivas que generan (3) recomendaciones específicas del entorno.
Digamos que es un analista de operaciones de seguridad que trabaja en una empresa que utiliza Microsoft Defender for Cloud. Es responsable del cumplimiento normativo de los recursos de nube híbrida.
Debe mejorar el número de controles que pasan Azure Security Benchmark como se muestra en Microsoft Defender for Cloud.
Ahora que sabe lo que son las directivas de seguridad, las iniciativas y las recomendaciones de Microsoft Defender for Cloud, véalo en acción.
Nota
Seleccione la imagen en miniatura para iniciar la simulación de laboratorio. Cuando haya terminado, asegúrese de volver a esta página para continuar con el aprendizaje.