Descripción de la línea base de seguridad de la plataforma Azure
El grupo de ciberseguridad de Microsoft y el Centro para la seguridad de Internet (CIS) han desarrollado procedimientos recomendados para ayudarle a establecer las líneas de base de seguridad de la plataforma de Azure.
Microsoft se asoció inicialmente con CIS para desarrollar una máquina virtual de Azure protegida comercial. Luego comenzó una iniciativa para crear un punto de referencia CIS (un documento que detalla las mejores prácticas de CIS) para los servicios y herramientas de seguridad de Azure con el fin de facilitar la seguridad y el cumplimiento de las aplicaciones de los clientes que se ejecutan en los servicios de Azure.
Sugerencia
La guía CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 proporciona instrucciones prescriptivas para establecer una configuración de línea base segura para Azure. Esta guía se probó en los servicios de Azure enumerados a partir de septiembre de 2024. El ámbito de este estándar de comparación es establecer el nivel fundamental de seguridad para cualquier persona que adopte Azure.
Creación de una línea base de seguridad de la plataforma
Varios estándares de seguridad pueden ayudar a los clientes de servicio en la nube a lograr la seguridad de las cargas de trabajo cuando usan servicios en la nube. Los siguientes grupos tecnológicos recomendados ayudan a crear cargas de trabajo seguras habilitadas para la nube. Estas recomendaciones no son una lista exhaustiva de todas las configuraciones y arquitecturas de seguridad posibles, sino que son un punto de partida.
CIS tiene dos niveles de implementación y varias categorías de recomendaciones:
Nivel 1: Configuración de seguridad mínima recomendada
- Estos ajustes deben configurarse en todos los sistemas.
- Estas configuraciones no deberían producir ninguna interrupción de los servicios, o muy poca, ni una funcionalidad reducida.
Nivel 2: Recomendaciones para entornos de alta seguridad
- Esta configuración puede dar lugar a una funcionalidad reducida.
En la tabla siguiente se proporcionan las categorías y el número de recomendaciones realizadas para cada categoría en CIS Microsoft Azure Foundations Security Benchmark v.3.0.0:
| Grupo de tecnología | Descripción | Número de recomendaciones |
|---|---|---|
| Administración de identidad y acceso (IAM) | Recomendaciones relacionadas con las directivas IAM | 30 |
| Microsoft Defender for Cloud | Recomendaciones relacionadas con la configuración y el uso de Microsoft Defender for Cloud | 35 |
| Cuentas de almacenamiento | Recomendaciones para establecer las directivas de la cuenta de almacenamiento | 17 |
| Azure SQL Database | Recomendaciones para ayudar a proteger las bases de datos de Azure SQL | 22 |
| Registro y supervisión | Recomendaciones a fin de establecer directivas de registro y supervisión para las suscripciones de Azure | Veintiuno |
| Redes | Recomendaciones para ayudar a configurar de forma segura las directivas y la configuración de redes de Azure | 7 |
| Máquinas virtuales | Recomendaciones para establecer directivas de seguridad para los servicios de proceso de Azure, en particular, las máquinas virtuales | 11 |
| Otros | Recomendaciones relacionadas con la seguridad general y los controles operativos, incluidas las relacionadas con Azure Key Vault y los bloqueos de recursos | 13 |
| Total recomendado | 156 |
Vamos a explorar cada categoría con más detalle.