Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
La prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar) ya está disponible. Le animamos a explorar esta versión y proporcionar comentarios para ayudarnos a mejorarla aún más. Para cualquier pregunta o comentario, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.
El banco de pruebas de seguridad en la nube de Microsoft proporciona procedimientos recomendados y recomendaciones prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure y su entorno multinube. Esta prueba comparativa se centra en las áreas de seguridad centradas en la nube con la entrada de un conjunto de instrucciones holísticas de seguridad de Microsoft y del sector que incluye:
- Cloud Adoption Framework: guía sobre la seguridad, incluida la estrategia, los roles y las responsabilidades, los procedimientos recomendados de seguridad principales de Azure 10 y la implementación de referencia.
- Azure Well-Architected Framework: guía sobre cómo proteger las cargas de trabajo en Azure.
- Microsoft Secure Future Initiative (SFI): SFI es una iniciativa interna de Microsoft de varios años iniciada para insertar la seguridad en cada fase del diseño, desarrollo y operaciones del producto. SFI incluye los procedimientos recomendados de seguridad interna de Microsoft que también queremos recomendar a nuestros clientes.
- Taller del director de seguridad de la información (CISO):guía del programa y estrategias de referencia para acelerar la modernización de la seguridad mediante principios de confianza cero.
- Estándares y marcos de mejores prácticas de seguridad de otros proveedores de servicios de la industria y en la nube: entre los ejemplos se incluyen el Marco Well-Architected de Amazon Web Services (AWS), los Controles del Center for Internet Security (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS).
Los nuevos servicios y características se publican diariamente en las plataformas de proveedores de servicios en la nube y Azure. Los desarrolladores publican rápidamente nuevas aplicaciones en la nube basadas en estos servicios. Y los actores incorrectos buscan constantemente nuevas formas de aprovechar recursos mal configurados. La nube se mueve rápidamente. Los desarrolladores se mueven rápido. Los actores malos también se mueven rápido. ¿Cómo puede mantenerse al día y asegurarse de que sus implementaciones en la nube están seguras? ¿Cómo son las prácticas de seguridad para los sistemas en la nube diferentes de los sistemas locales y diferentes entre los proveedores de servicios en la nube? ¿Cómo se supervisa la carga de trabajo para mantener la coherencia en varias plataformas en la nube?
Microsoft encontró que el uso de pruebas comparativas de seguridad puede ayudarle a proteger rápidamente las implementaciones en la nube. Un marco completo de procedimientos recomendados de seguridad de los proveedores de servicios en la nube puede proporcionarle un punto de partida para seleccionar opciones de configuración de seguridad específicas en su entorno en la nube, en varios proveedores de servicios. También permite supervisar estas configuraciones mediante un solo panel de vidrio.
La prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar)
La prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar) representa la evolución más reciente del MCSB con instrucciones mejoradas centradas en Azure, dominios de seguridad expandidos y detalles completos de implementación técnica. Esta versión presenta un nuevo dominio de seguridad de inteligencia artificial con siete recomendaciones, más de 420 definiciones integradas de Azure Policy para la supervisión automatizada del cumplimiento, así como instrucciones basadas en riesgos y basadas en amenazas con ejemplos de implementación pormenorizados. Para obtener información detallada sobre la estructura de control de seguridad, las descripciones de dominio y las instrucciones de implementación, consulte Introducción a la prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar).
Implementación del punto de referencia de seguridad en la nube de Microsoft
Los controles de seguridad de MCSB se aplican generalmente en las cargas de trabajo en la nube. Cada control de seguridad identifica a las partes interesadas que suelen estar implicadas en la planeación, aprobación o implementación. Esta información ayuda a las organizaciones a coordinar sus esfuerzos de seguridad de forma eficaz.
- Planifique la implementación de MCSB revisando la documentación de los controles de seguridad para planificar su marco y cómo se relaciona con directrices como Controles del Centro de Seguridad de Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y el marco PCI-DSS de Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago.
- Supervise el cumplimiento con el estado de MCSB (y otros conjuntos de controles) mediante el Panel de cumplimiento normativo de Microsoft Defender for Cloud para su entorno multinube.
- Establezca límites de protección para automatizar configuraciones seguras y aplicar el cumplimiento con MCSB (y otros requisitos de su organización) mediante características como Azure Blueprints, Azure Policy o las tecnologías equivalentes de otras plataformas en la nube.
Casos de uso comunes
Use la prueba comparativa de seguridad en la nube de Microsoft para abordar los desafíos comunes para los clientes o asociados de servicio que son:
- Si eres nuevo en Azure (y otras principales plataformas de nube, como AWS) y buscas las mejores prácticas de seguridad para garantizar una implementación segura de servicios en la nube y de la carga de trabajo de tus aplicaciones.
- Buscando mejorar la posición de seguridad de las implementaciones en la nube existentes para priorizar los principales riesgos y mitigaciones.
- El uso de entornos multinube (como Azure y AWS) y los desafíos para alinear la supervisión y evaluación del control de seguridad mediante un único panel de vidrio.
- Evaluación de las características y funcionalidades de seguridad de Azure (y otras principales plataformas en la nube, como AWS) antes de incorporar o aprobar un servicio en el catálogo de servicios en la nube.
- Tener que cumplir los requisitos de cumplimiento en sectores altamente regulados, como gobierno, finanzas y atención sanitaria. Estos clientes deben asegurarse de que sus configuraciones de servicio de Azure y otras nubes cumplan la especificación de seguridad definida en el marco, como CIS, NIST o PCI. MCSB proporciona un enfoque eficiente con los controles ya asignados previamente a estos puntos de referencia del sector.
Terminología
El banco de pruebas de seguridad en la nube de Microsoft usa varios términos clave para organizar y describir las instrucciones de seguridad. Es importante comprender cómo MCSB usa estos términos.
| Término | Descripción | Ejemplo |
|---|---|---|
| Dominio de seguridad | Agrupación de alto nivel de controles de seguridad relacionados que abordan un área específica de preocupación de seguridad. | La seguridad de inteligencia artificial es uno de los 12 dominios de seguridad de MCSB v2. Agrupa todos los controles de seguridad relacionados con la protección de cargas de trabajo y servicios de inteligencia artificial. |
| Control de seguridad | Un requisito o recomendación de seguridad específicos dentro de un dominio que debe abordarse. Los controles de seguridad son descripciones independientes de la tecnología de lo que debe lograr. | Dentro del dominio de protección de datos, "DP-1: Detectar, clasificar y etiquetar datos confidenciales" es un control de seguridad que describe la necesidad de identificar y clasificar información confidencial. |
| Subcontrol de seguridad | Una recomendación detallada y granular o una guía de implementación que respalda un control de seguridad. Un subcontrol de seguridad proporciona pasos técnicos o de procedimientos específicos. | Bajo el control de seguridad DP-1, el subcontrol de seguridad DP-1.1 proporciona instrucciones específicas para implementar la clasificación de datos mediante Microsoft Purview o herramientas similares. |
| Línea base | Conjunto de implementaciones de control de seguridad adaptadas a un escenario específico, marco de cumplimiento o sector. | Aunque las líneas de base para MCSB v2 (versión preliminar) aún no están disponibles, puede encontrar información sobre las líneas base de MCSB v1 en Introducción a la prueba comparativa de seguridad en la nube de Microsoft v1. |
Le damos la bienvenida a sus comentarios sobre el banco de pruebas de seguridad en la nube de Microsoft. Le animamos a proporcionar comentarios en el área de comentarios siguiente. Si prefiere compartir su entrada de forma más privada con el equipo de seguridad en la nube de Microsoft, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.