Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El banco de pruebas de seguridad en la nube de Microsoft (MCSB) proporciona recomendaciones y procedimientos recomendados prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure y su entorno de varias nubes. Este punto de referencia se centra en las áreas de control centradas en la nube con la entrada de un conjunto de instrucciones holísticas de seguridad de Microsoft y del sector que incluye:
- Cloud Adoption Framework: guía sobre la seguridad, incluida la estrategia, los roles y las responsabilidades, los procedimientos recomendados de seguridad principales de Azure 10 y la implementación de referencia.
- Azure Well-Architected Framework: guía sobre cómo proteger las cargas de trabajo en Azure.
- Taller del director de seguridad de la información (CISO):guía del programa y estrategias de referencia para acelerar la modernización de la seguridad mediante principios de confianza cero.
- Otros proveedores de la industria y de servicios en la nube estándares y marcos de mejores prácticas de seguridad: entre los ejemplos se incluyen el Amazon Web Services (AWS) Well-Architected Framework, el Center for Internet Security (CIS) Controls, el National Institute of Standards and Technology (NIST), y el Payment Card Industry Data Security Standard (PCI-DSS).
Novedades de Microsoft Cloud Security Benchmark v1
Nota:
Microsoft Cloud Security Benchmark es el sucesor de Azure Security Benchmark (ASB), que se cambió de nombre en octubre de 2022.
La compatibilidad con Google Cloud Platform en MCSB ahora está disponible como una característica en versión preliminar tanto en la guía de pruebas comparativas de MCSB como en Microsoft Defender for Cloud.
Estas son las novedades de Microsoft Cloud Security Benchmark v1:
Marco de seguridad multinube completo: las organizaciones suelen tener que crear un estándar de seguridad interno para conciliar los controles de seguridad en varias plataformas en la nube para cumplir los requisitos de seguridad y cumplimiento en cada uno de ellos. Esto suele requerir que los equipos de seguridad repitan la misma implementación, supervisión y evaluación en los distintos entornos de nube (a menudo para diferentes estándares de cumplimiento). Esto crea una sobrecarga, un costo y un esfuerzo innecesarios. Para solucionar este problema, hemos mejorado el ASB a MCSB para ayudarle a trabajar rápidamente con diferentes nubes mediante:
- Proporcionar un único marco de control para cumplir fácilmente los controles de seguridad en las nubes
- Proporcionar una experiencia de usuario coherente para la supervisión y aplicación de la prueba comparativa de seguridad de varias nubes en Defender for Cloud
- Mantenerse alineado con los estándares del sector (por ejemplo, CIS, NIST, PCI)
Supervisión automatizada del control para AWS en Microsoft Defender for Cloud: puede usar el panel de cumplimiento normativo de Microsoft Defender for Cloud para supervisar su entorno de AWS en MCSB, al igual que el modo en que supervisa su entorno de Azure. Hemos desarrollado aproximadamente 180 comprobaciones de AWS para obtener la nueva guía de seguridad de AWS en MCSB, lo que le permite supervisar su entorno y recursos de AWS en Microsoft Defender for Cloud.
Una actualización de las instrucciones y principios de seguridad existentes de Azure: también hemos actualizado algunas de las instrucciones de seguridad y los principios de seguridad de Azure existentes durante esta actualización para que pueda mantenerse al día con las características y funcionalidades de Azure más recientes.
Controles
| Dominios de control | Description |
|---|---|
| Seguridad de red (NS) | La seguridad de red cubre los controles para proteger y proteger las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS. |
| Administración de identidades (IM) | Administración de identidades cubre controles que establecen una identidad segura y controles de acceso mediante sistemas de administración de identidad y acceso, incluido el uso del inicio de sesión único, la autenticación segura, las identidades administradas (y las entidades de servicio) para las aplicaciones, el acceso condicional y la supervisión de anomalías en las cuentas. |
| Acceso con privilegios (PA) | Acceso con privilegios cubre los controles para proteger el acceso con privilegios a su inquilino y a los recursos, incluida una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e inadvertidos. |
| Protección de datos (DP) | La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados. |
| Administración de recursos (AM) | Gestión de Activos cubre los controles para garantizar la visibilidad y gobernanza de la seguridad sobre sus recursos, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección). |
| Registro y detección de amenazas (LT) | El registro y la detección de amenazas abarcan los controles para detectar amenazas en la nube y habilitar, recopilar y almacenar registros de auditoría para servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en servicios en la nube; también incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización del análisis de seguridad con un SIEM, la sincronización de tiempo y la retención de registros. |
| Respuesta a los incidentes (IR) | Respuesta a incidentes abarca los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure (como Microsoft Defender para la nube y Sentinel) y/o otros servicios en la nube para automatizar el proceso de respuesta a incidentes. |
| Administración de posiciones y vulnerabilidades (PV) | La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad en la nube, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos en la nube. |
| Seguridad del punto de conexión (ES) | Endpoint Security cubre los controles de detección y respuesta de puntos de conexión, incluido el uso de la detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para los puntos de conexión en entornos en la nube. |
| Copia de seguridad y recuperación (BR) | Copias de seguridad y recuperación abarca controles para asegurarse de que las copias de seguridad de datos y configuraciones en los distintos niveles de servicio se realizan, validan y protegen. |
| Seguridad de DevOps (DS) | DevOps Security cubre los controles relacionados con la ingeniería y las operaciones de seguridad en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas estáticas de seguridad de aplicaciones, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad en todo el proceso de DevOps; también incluye temas comunes, como el modelado de amenazas y la seguridad de suministro de software. |
| Gobernanza y estrategia (GS) | La gobernanza y la estrategia proporcionan instrucciones para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener la garantía de seguridad, incluido el establecimiento de roles y responsabilidades para las distintas funciones de seguridad en la nube, la estrategia técnica unificada y las directivas y estándares de apoyo. |
Recomendaciones en la prueba comparativa de seguridad en la nube de Microsoft
Cada recomendación incluye la siguiente información:
- ID: ID de la prueba comparativa que corresponde a la recomendación.
- Identificadores de CIS Controls v8: los control(es) de CIS v8 correspondientes a la recomendación.
- Identificadores CIS Controls v7.1: los controles de CIS Controls v7.1 correspondientes a la recomendación (no disponible en la web debido a razones de formato).
- PCI-DSS identificadores v3.2.1: los controles del PCI-DSS v3.2.1 que corresponden a la recomendación.
- NIST SP 800-53 r4 ID(s): los controles NIST SP 800-53 r4 (Moderado y Alto) corresponden a esta recomendación.
- Principio de seguridad: la recomendación se centra en el "qué", explicando el control en el nivel independiente de la tecnología.
- Guía de Azure: la recomendación se centra en el "cómo", explicando los conceptos básicos de implementación y características técnicas de Azure.
- Guía de AWS: la recomendación se centra en el "cómo", explicando los conceptos básicos de implementación y características técnicas de AWS.
- Implementación y contexto adicional: los detalles de implementación y otros contextos pertinentes que vinculan a los artículos de documentación de ofertas de servicios de Azure y AWS.
- Partes interesadas de la seguridad del cliente: Las funciones de seguridad de la organización del cliente que pueden ser responsabilizadas, responsables o consultadas para el control correspondiente. Puede ser diferente de la organización a la organización en función de la estructura de la organización de seguridad de su empresa y de los roles y responsabilidades que configure relacionados con la seguridad de Azure.
Las asignaciones de control entre MCSB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que se pueden usar características específicas de Azure para abordar completamente o parcialmente un requisito de control definido en estas pruebas comparativas del sector. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento total de los controles correspondientes en estas pruebas comparativas del sector.
Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de pruebas comparativas de seguridad en la nube de Microsoft. Si desea proporcionar una entrada directa, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.
Descargar
Puedes descargar la copia benchmark y la línea base sin conexión en formato de hoja de cálculo.
Pasos siguientes
- Consulte el primer control de seguridad: Seguridad de red
- Lea la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Información sobre los aspectos básicos de seguridad de Azure