Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El punto de referencia de seguridad de Azure más up-toestá disponible aquí.
Asset Management cubre los controles para garantizar la visibilidad y la gobernanza de la seguridad en los recursos de Azure. Esto incluye recomendaciones sobre los permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección).
Para ver la directiva de Azure integrada aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Seguridad de red.
AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad de los riesgos de los recursos
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Asegúrese de que a los equipos de seguridad se les concedan permisos de lector de seguridad en el inquilino de Azure y las suscripciones de Azure para que puedan supervisar los riesgos de seguridad mediante Azure Security Center.
Dependiendo de cómo se estructuran las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información de seguridad y los riesgos siempre deben agregarse de forma centralizada dentro de una organización.
Los permisos de lector de seguridad se pueden aplicar ampliamente a un inquilino completo (grupo de administración raíz) o tener como ámbito grupos de administración o suscripciones específicas.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
AM-2: Asegurarse de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Asegúrese de que los equipos de seguridad tengan acceso a un inventario actualizado continuamente de los recursos en Azure. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar continuamente la seguridad.
La característica de inventario de Azure Security Center y Azure Resource Graph pueden consultar y detectar todos los recursos de las suscripciones, incluidos los servicios, las aplicaciones y los recursos de red de Azure.
Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas, así como otros metadatos de Azure (Nombre, Descripción y Categoría).
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
AM-3: Uso de solo servicios de Azure aprobados
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
AM-4: Garantizar la seguridad de la administración del ciclo de vida de los recursos
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Establezca o actualice las directivas de seguridad que abordan los procesos de administración del ciclo de vida de los recursos para modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en: proveedores de identidades y acceso, confidencialidad de datos, configuración de red y asignación de privilegios administrativos.
Quite los recursos de Azure cuando ya no sean necesarios.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
AM-5: Limitar la capacidad de los usuarios para interactuar con Azure Resource Manager
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Use el acceso condicional de Azure AD para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de "Bloquear acceso" para la aplicación "Administración de Microsoft Azure".
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
AM-6: Usar solo aplicaciones aprobadas en recursos de computación
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Asegúrese de que solo se ejecute el software autorizado y que todo el software no autorizado esté bloqueado para ejecutarse en Azure Virtual Machines.
Use los controles de aplicación adaptables de Azure Security Center para detectar y generar una lista de aplicaciones permitidas. También puede usar los controles de aplicación adaptables para asegurarse de que solo se ejecuta software autorizado y se impide que todo el software no autorizado se ejecute en Azure Virtual Machines.
Utiliza Seguimiento de Cambios e Inventario de Azure Automation para automatizar la recopilación de información de inventario de las máquinas virtuales Windows y Linux. El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener la fecha de instalación de software y otra información, habilite los diagnósticos de nivel de invitado y dirija los registros de eventos de Windows al área de trabajo de Log Analytics.
Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en recursos de proceso de Azure.
También puede usar una solución de terceros para detectar e identificar software no aprobado.
Uso de controles de aplicaciones adaptables de Azure Security Center
Descripción del seguimiento de cambios e inventario de Azure Automation
Cómo controlar la ejecución de scripts de PowerShell en entornos de Windows
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):