Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure. Esto incluye el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure.
Para ver la directiva integrada aplicable de Azure Policy, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Gestión de la postura de seguridad y vulnerabilidades.
PV-1: Establecimiento de configuraciones seguras para los servicios de Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Defina los límites de protección de seguridad para los equipos de infraestructura y DevOps, ya que facilita la configuración segura de los servicios de Azure que usan.
Inicie la configuración de seguridad de los servicios de Azure con las líneas base de servicio en Azure Security Benchmark y personalice según sea necesario para su organización.
Use Azure Security Center para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure.
Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación, incluidas las plantillas de Azure Resource Manager, los controles de Azure RBAC y las directivas, en una única definición de plano técnico.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-2: Mantenimiento de configuraciones seguras para los servicios de Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Usa Azure Security Center para supervisar la línea base de configuración y usar la política [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de cómputo de Azure, incluidas las máquinas virtuales, los contenedores y otros.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-3: Establecimiento de configuraciones seguras para los recursos de proceso
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Use Azure Security Center y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar imágenes de sistema operativo personalizadas o Azure Automation State Configuration para establecer la configuración de seguridad del sistema operativo que requiere su organización.
Cargar un VHD y usarlo para crear nuevas máquinas virtuales Windows en Azure
Creación de una máquina virtual Linux a partir de un disco personalizado con la CLI de Azure
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-4: Mantener configuraciones seguras para los recursos de proceso
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Use Azure Security Center y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizadas o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo requerido por su organización. Las plantillas de máquina virtual de Microsoft junto con State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad.
Además, tenga en cuenta que Microsoft administra y mantiene las imágenes de máquina virtual de Azure Marketplace publicadas por Microsoft.
Azure Security Center también puede examinar vulnerabilidades en imágenes de contenedor y realizar una supervisión continua de la configuración de Docker en contenedores, en función de CIS Docker Benchmark. Puede usar la página recomendaciones de Azure Security Center para ver recomendaciones y corregir problemas.
Implementación de recomendaciones de evaluación de vulnerabilidades de Azure Security Center
Creación de una máquina virtual de Azure a partir de una plantilla de ARM
Información sobre cómo descargar una plantilla para una máquina virtual
Script de ejemplo para cargar un VHD en Azure y crear una nueva máquina virtual
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
PV-5: Almacenar de forma segura imágenes de contenedor y sistema operativo personalizados
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Use el control de acceso basado en rol de Azure (Azure RBAC) para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas. Use una instancia de Azure Shared Image Gallery para compartir las imágenes con distintos usuarios, entidades de servicio o grupos de AD dentro de su organización. Almacene imágenes de contenedor en Azure Container Registry y use RBAC de Azure para asegurarse de que solo los usuarios autorizados tengan acceso.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-6: Realizar evaluaciones de vulnerabilidades de software
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Siga las recomendaciones de Azure Security Center para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure, imágenes de contenedor y servidores SQL Server. Azure Security Center tiene un analizador de vulnerabilidades integrado para examinar máquinas virtuales.
Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar escaneos remotos, no use una sola cuenta administrativa perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de análisis. Las credenciales de la cuenta de examen deben protegerse, supervisarse y usarse solo para el examen de vulnerabilidades.
Exporte los resultados del examen a intervalos coherentes y compare los resultados con exámenes anteriores para comprobar que se han corregido las vulnerabilidades. Al utilizar las recomendaciones de administración de vulnerabilidades sugeridas por Azure Security Center, puede acceder al portal de la solución de escaneo seleccionada para ver los datos históricos de escaneo.
Implementación de recomendaciones de evaluación de vulnerabilidades de Azure Security Center
Analizador de vulnerabilidades integrado para máquinas virtuales
Exportación de los resultados del examen de vulnerabilidades de Azure Security Center
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-7: Corregir rápidamente y automáticamente las vulnerabilidades de software
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Implemente rápidamente actualizaciones de software para corregir las vulnerabilidades de software en sistemas operativos y aplicaciones.
Use un programa de puntuación de riesgo común (como Common Vulnerability Scoring System) o las clasificaciones de riesgo predeterminadas proporcionadas por la herramienta de análisis de terceros y adapte a su entorno, teniendo en cuenta qué aplicaciones presentan un alto riesgo de seguridad y cuáles requieren un tiempo de actividad elevado.
Utilice Azure Automation Administración de Actualizaciones o una solución de terceros para garantizar que las actualizaciones de seguridad más recientes se instalen en las máquinas virtuales con Windows y Linux. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update se ha habilitado y establecido para actualizarse automáticamente.
Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.
Configuración de Update Management para máquinas virtuales en Azure
Administración de actualizaciones y revisiones para las máquinas virtuales de Azure
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PV-8: Realizar simulación de ataque regular
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados críticos de seguridad. siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):