Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Gobernanza y estrategia proporciona una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener el control de la seguridad, incluyendo el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y directivas y estándares de apoyo.
GS-1: alineación de los roles y responsabilidades de la organización
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Guía general: asegúrese de definir y comunicar una estrategia clara para roles y responsabilidades en su organización de seguridad. Dé prioridad a proporcionar una responsabilidad clara para las decisiones de seguridad, educar a todos en el modelo de responsabilidad compartida y educar a los equipos técnicos sobre la tecnología para proteger la nube.
Implementación y contexto adicional:
- Mejor práctica de seguridad de Azure 1: Personas: Educación de los equipos en el recorrido de seguridad en la nube
- Procedimiento recomendado de seguridad de Azure 2: Personas: Formación de equipos en tecnología de seguridad en la nube
- Procedimiento recomendado de seguridad de Azure 3: Proceso: Asignación de responsabilidad para las decisiones de seguridad en la nube
Partes interesadas en la seguridad del cliente (más información):
GS-2: Definición e implementación de la estrategia de segmentación o separación de los derechos de acceso en la empresa
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Guía general: establezca una estrategia de toda la empresa para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.
Equilibre cuidadosamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.
Asegúrese de que la estrategia de segmentación se implementa de forma coherente en la carga de trabajo, incluidos los modelos de seguridad de red, identidad y acceso, y los modelos de permisos y acceso de aplicaciones y controles de procesos humanos.
Implementación y contexto adicional:
- Seguridad en Microsoft Cloud Adoption Framework para Azure: segmentación: separar para proteger
- Seguridad en Microsoft Cloud Adoption Framework para Azure: arquitectura: establecer una única estrategia de seguridad unificada
Partes interesadas en la seguridad del cliente (más información):
GS-3: definición e implementación de una estrategia de protección de datos
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Guía general: establezca una estrategia de toda la empresa para la protección de datos en el entorno en la nube:
- Defina y aplique el estándar de clasificación y protección de datos de acuerdo con el estándar de administración de datos de la empresa y el cumplimiento normativo para dictar los controles de seguridad necesarios para cada nivel de la clasificación de datos.
- Configure la jerarquía de administración de recursos en la nube alineada con la estrategia de segmentación empresarial. La estrategia de segmentación empresarial también debe ser informada por la ubicación de datos y sistemas críticos para la empresa o confidenciales.
- Defina y aplique los principios de confianza cero aplicables en el entorno de nube para evitar implementar la confianza basada en la ubicación de red dentro de un perímetro. En su lugar, use declaraciones de confianza de usuario y dispositivo para controlar el acceso a los datos y los recursos.
- Realice un seguimiento y minimice la superficie de datos confidenciales (almacenamiento, transmisión y procesamiento) en toda la empresa para reducir el costo de protección de datos y superficie expuesta a ataques. Tenga en cuenta técnicas como hash unidireccional, truncamiento y tokenización en la carga de trabajo siempre que sea posible, para evitar almacenar y transmitir datos confidenciales en su forma original.
- Asegúrese de que tiene una estrategia de control total del ciclo de vida para proporcionar garantía de seguridad de los datos y las claves de acceso.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: Protección de datos
- Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de datos de Azure
- Aspectos básicos de seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure
Partes interesadas en la seguridad del cliente (más información):
GS-4: definición e implementación de una estrategia de seguridad de red
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Guía general: establezca una estrategia de seguridad de red en la nube como parte de la estrategia general de seguridad de su organización para el control de acceso. Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:
- Diseñe un modelo de responsabilidad de seguridad y administración de red centralizada y descentralizada para implementar y mantener recursos de red.
- Un modelo de segmentación de red virtual alineado con la estrategia de segmentación empresarial.
- Una estrategia perimetral y de entrada y salida de Internet.
- Una estrategia de interconectividad local y de nube híbrida.
- Una estrategia de supervisión y registro de la red.
- Artefactos de seguridad de red actualizados (como diagramas de red, arquitectura de red de referencia).
Implementación y contexto adicional:
- Procedimiento recomendado de seguridad de Azure 11: arquitectura. Estrategia de seguridad unificada única
- Prueba comparativa de seguridad en la nube de Microsoft: seguridad de red
- Introducción a la seguridad de red de Azure
- Estrategia de arquitectura de red empresarial
Partes interesadas en la seguridad del cliente (más información):
GS-5: definición e implementación de la estrategia de administración de la postura de seguridad
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Guía general: establezca una directiva, un procedimiento y un estándar para asegurarse de que la administración de la configuración de seguridad y la administración de vulnerabilidades están en su mandato de seguridad en la nube.
La administración de la configuración de seguridad en la nube debe incluir las siguientes áreas:
- Defina las líneas base de configuración seguras para distintos tipos de recursos en la nube, como el portal web, la consola, la administración y el plano de control, y los recursos que se ejecutan en los servicios IaaS, PaaS y SaaS.
- Asegúrese de que las líneas base de seguridad abordan los riesgos en diferentes áreas de control, como la seguridad de red, la administración de identidades, el acceso con privilegios, la protección de datos, etc.
- Use herramientas para medir, auditar y aplicar continuamente la configuración para evitar que la configuración se desvíe de la línea base.
- Desarrolle una cadencia para mantenerse actualizada con las características de seguridad, por ejemplo, suscribirse a las actualizaciones del servicio.
- Use un mecanismo de comprobación de cumplimiento o estado de seguridad (como Puntuación de seguridad, Panel de cumplimiento en Microsoft Defender for Cloud) para revisar periódicamente la posición de configuración de seguridad y corregir las brechas identificadas.
La administración de vulnerabilidades en la nube debe incluir los siguientes aspectos de seguridad:
- Evalúe y corrija periódicamente las vulnerabilidades en todos los tipos de recursos en la nube, como los servicios nativos en la nube, los sistemas operativos y los componentes de la aplicación.
- Use un enfoque basado en riesgos para priorizar la evaluación y la corrección.
- Suscríbase a los avisos de seguridad y blogs de CSPM pertinentes para recibir las actualizaciones de seguridad más recientes.
- Asegúrese de que la evaluación y corrección de vulnerabilidades (como la programación, el ámbito y las técnicas) cumplen los requisitos de cumplimiento de manera regular de su organización.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: administración de posturas y vulnerabilidades
- Procedimiento recomendado de seguridad de Azure 9: establecimiento de la administración de la posición de seguridad
Partes interesadas en la seguridad del cliente (más información):
GS-6: definición e implementación de la estrategia de identidad y acceso con privilegios
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Guía general: establezca un enfoque de acceso con privilegios e identidades en la nube como parte de la estrategia general de control de acceso de seguridad de su organización. Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes aspectos:
- Sistema de identidad y autenticación centralizados (como Azure AD) y su interconectividad con otros sistemas de identidad internos y externos
- Gobernanza de identidades y acceso con privilegios (por ejemplo, solicitud de acceso, revisión y aprobación)
- Situación de cuentas con privilegios en caso de emergencia (emergencia)
- Métodos de autenticación segura (autenticación sin contraseña y autenticación multifactor) en diferentes casos de uso y condiciones.
- Proteja el acceso mediante operaciones administrativas a través del portal web o la consola, la línea de comandos y la API.
En los casos de excepción, en los que no se usa un sistema empresarial, asegúrese de que se han implementado controles de seguridad adecuados para la administración de identidades, autenticación y acceso, y se rigen. El equipo empresarial debe aprobar y revisar periódicamente estas excepciones. Estas excepciones suelen ser en casos como:
- Uso de un sistema de autenticación e identidad no designado por la empresa, como sistemas de terceros basados en la nube (puede presentar riesgos desconocidos)
- Los usuarios con privilegios autenticados localmente y/o que utilizan métodos de autenticación no fuertes.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades
- Prueba comparativa de seguridad en la nube de Microsoft: acceso con privilegios
- Procedimiento recomendado de seguridad de Azure 11: arquitectura. Estrategia de seguridad unificada única
- Introducción a la seguridad de Administración de identidades de Azure
Partes interesadas en la seguridad del cliente (más información):
GS-7: definición e implementación de una estrategia de registro, detección de amenazas y respuesta ante incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Guía general: establezca una estrategia de registro, detección de amenazas e respuesta a incidentes para detectar y corregir rápidamente amenazas y cumplir los requisitos de cumplimiento. El equipo de operaciones de seguridad (SecOps/SOC) debe priorizar las alertas de alta calidad y experiencias sin problemas para que puedan centrarse en amenazas en lugar de registrar la integración y los pasos manuales. Esta estrategia debe incluir directivas documentadas, procedimientos y estándares para los siguientes aspectos:
- El rol y las responsabilidades de la organización de operaciones de seguridad (SecOps)
- Un plan de respuesta a incidentes bien definido y probado periódicamente, y un proceso de manejo que se alinea con NIST SP 800-61 (Guía para el Manejo de Incidentes de Seguridad Informática) u otros marcos del sector.
- Plan de comunicación y notificación con sus clientes, proveedores y partes públicas de interés.
- Simulación de eventos de seguridad esperados e inesperados en el entorno de nube para comprender la eficacia de la preparación. Iterar sobre el resultado de tu simulación para mejorar la escala de tu postura de respuesta, reducir el tiempo para obtener valor y reducir aún más el riesgo.
- Preferencia de usar funcionalidades de detección y respuesta extendidas (XDR), como las funcionalidades de Azure Defender, para detectar amenazas en varias áreas.
- Uso de la funcionalidad nativa de nube (por ejemplo, como Microsoft Defender for Cloud) y plataformas de terceros para el control de incidentes, como el registro y la detección de amenazas, análisis forenses y corrección y erradicación de ataques.
- Prepara los runbooks necesarios, tanto manuales como automatizados, para garantizar respuestas confiables y coherentes.
- Defina escenarios clave (como la detección de amenazas, la respuesta a incidentes y el cumplimiento) y configure la captura y retención de registros para cumplir los requisitos del escenario.
- Visibilidad centralizada y información de correlación sobre amenazas, mediante SIEM, la funcionalidad nativa de detección de amenazas en la nube y otros orígenes.
- Actividades posteriores al incidente, como las lecciones aprendidas y la retención de evidencias.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: registro y detección de amenazas
- Prueba comparativa de seguridad en la nube de Microsoft: respuesta a incidentes
- Procedimiento recomendado de seguridad de Azure 4: proceso. Actualizar procesos de respuesta a incidentes para la nube
- Guía de decisiones de Azure Adoption Framework, registro e informes
- Escala, administración y supervisión empresariales de Azure
- Guía de control de incidentes de seguridad de equipos de NIST SP 800-61
Partes interesadas en la seguridad del cliente (más información):
GS-8: definición e implementación de una estrategia de copia de seguridad y recuperación
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Guía general: establezca una estrategia de copia de seguridad y recuperación para su organización. Esta estrategia debe incluir instrucciones documentadas, directivas y estándares en los siguientes aspectos:
- Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia empresarial y los requisitos de cumplimiento normativo.
- Diseño de redundancia (incluida la copia de seguridad, restauración y replicación) en las aplicaciones y la infraestructura para tanto en la nube como en el entorno local. Tenga en cuenta las regiones, los pares de regiones, la recuperación entre regiones y la ubicación de almacenamiento fuera del sitio como parte de su estrategia.
- Protección de la copia de seguridad contra el acceso no autorizado y la manipulación mediante controles como el control de acceso a datos, el cifrado y la seguridad de red.
- Uso de copias de seguridad y recuperación para mitigar los riesgos de las amenazas emergentes, como ataques de ransomware. Además, proteja los datos de copia de seguridad y recuperación de estos ataques.
- Supervisar los datos y operaciones de copia de seguridad y recuperación con fines de auditoría y alerta.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: copia de seguridad y recuperación Azure Well-Architecture Framework: copia de seguridad y recuperación ante desastres para aplicaciones de Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Continuidad empresarial y recuperación ante desastres de Azure Adoption Framework
- Plan de copia de seguridad y restauración para protegerse contra ransomware
Partes interesadas en la seguridad del cliente (más información):
GS-9: definición e implementación de una estrategia de seguridad de punto de conexión
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Guía general: establezca una estrategia de seguridad de puntos de conexión en la nube que incluya los siguientes aspectos: implemente la detección de puntos de conexión y la respuesta y la funcionalidad antimalware en el punto de conexión e integre con la solución SIEM y la detección de amenazas y el proceso de operaciones de seguridad.
- Siga el Microsoft Cloud Security Benchmark para asegurarse de que las configuraciones de seguridad relacionadas con los puntos de conexión en otras áreas respectivas (como la seguridad de red, la gestión de vulnerabilidades de postura, el acceso con privilegios y el registro y detección de amenazas) estén en vigor para proporcionar una protección en profundidad para sus puntos de conexión.
- Priorice la seguridad de los puntos de conexión en el entorno de producción, pero asegúrese de que los entornos que no son de producción (como el entorno de prueba y compilación que se usa en el proceso de DevOps) también están protegidos y supervisados, ya que estos entornos también se pueden usar para introducir malware y vulnerabilidades en el entorno de producción.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: seguridad de los puntos de conexión
- Procedimientos recomendados para la seguridad de los puntos de conexión en Azure
Partes interesadas en la seguridad del cliente (más información):
GS-10: definición e implementación de una estrategia de seguridad de DevOps
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Guía general: exija los controles de seguridad como parte del estándar de ingeniería y operación de DevOps de la organización. Defina los objetivos de seguridad, los requisitos de control y las especificaciones de herramientas de acuerdo con los estándares de seguridad empresarial y en la nube de su organización.
Anime el uso de DevOps como modelo operativo esencial en su organización para sus ventajas en la identificación y corrección rápida de vulnerabilidades mediante diferentes tipos de automatizaciones (como la infraestructura como aprovisionamiento de código y el examen automatizado de SAST y DAST) en todo el flujo de trabajo de CI/CD. Este enfoque de "desplazamiento a la izquierda" también aumenta la visibilidad y la capacidad de aplicar comprobaciones de seguridad coherentes en la canalización de implementación, implementando eficazmente los límites de protección de seguridad en el entorno con antelación para evitar sorpresas de seguridad de última hora al implementar una carga de trabajo en producción.
Al cambiar los controles de seguridad que quedan a las fases anteriores a la implementación, implemente los límites de protección de seguridad para asegurarse de que los controles se implementan y aplican a lo largo del proceso de DevOps. Esta tecnología podría incluir plantillas de implementación de recursos (como la plantilla de Azure ARM) para definir límites de protección en iaC (infraestructura como código), el aprovisionamiento de recursos y la auditoría para restringir qué servicios o configuraciones se pueden aprovisionar en el entorno.
Para los controles de seguridad en tiempo de ejecución de la carga de trabajo, siga Microsoft Cloud Security Benchmark para diseñar e implementar los controles efectivos, como el acceso con privilegios e identidades, la seguridad de red, la seguridad de los puntos de conexión y la protección de datos dentro de las aplicaciones y servicios de la carga de trabajo.
Implementación y contexto adicional:
- Prueba comparativa de seguridad en la nube de Microsoft: seguridad de DevOps
- Protección de DevOps
- Cloud Adoption Framework: Controles de DevSecOpsorientación general para laspartes interesadas en la seguridad del cliente (más información)**:
- Todas las partes interesadas
GS-11: Definición e implementación de la estrategia de seguridad multinube
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| No disponible | No disponible | No disponible |
Guía general: asegúrese de que se define una estrategia de varias nubes en el proceso de gobernanza de la nube y seguridad, administración de riesgos y operación, que debe incluir los siguientes aspectos:
- Adopción de multi-nube: Para las organizaciones que operan infraestructura multi-nube, eduque a su organización para asegurarse de que los equipos comprendan las diferencias de características entre las plataformas en la nube y el stack tecnológico. Compile, implemente o migre soluciones que son portátiles. Permitir la facilidad de movimiento entre plataformas en la nube con bloqueo de proveedor mínimo mientras se usan características nativas de nube adecuadamente para el resultado óptimo de la adopción de la nube.
- Operaciones de nube y seguridad: optimice las operaciones de seguridad para admitir las soluciones en cada nube, a través de un conjunto central de procesos de gobernanza y administración que comparten procesos de operaciones comunes, independientemente de dónde se implemente y funcione la solución.
- Herramientas y pila de tecnología: elija las herramientas adecuadas que admiten entornos multinube para ayudar a establecer plataformas de administración unificadas y centralizadas que pueden incluir todos los dominios de seguridad descritos en esta prueba comparativa de seguridad.
Implementación y contexto adicional: