Introducción

Microsoft Defender for Cloud compara continuamente la configuración de los recursos con los requisitos de los estándares, las regulaciones y los bancos de pruebas del sector.

Para comprender cómo la administración de posturas de seguridad evalúa su entorno, es importante comprender las iniciativas y las directivas de seguridad.

¿Qué son las iniciativas y las directivas de seguridad?

Microsoft Defender for Cloud aplica iniciativas de seguridad a sus suscripciones. Estas iniciativas contienen una o varias directivas de seguridad. Cada una de esas directivas da como resultado una recomendación de seguridad para mejorar la posición de seguridad.

¿Qué es una directiva de seguridad?

Una definición de Azure Policy, creada en Azure Policy, es una regla sobre condiciones de seguridad específicas que desea controlar. Las definiciones integradas incluyen elementos como controlar qué tipo de recursos se pueden implementar o aplicar el uso de etiquetas en todos los recursos. También puede crear sus propias definiciones de directiva personalizadas.

Para implementar estas definiciones de directiva (ya sea integradas o personalizadas), debe asignarlas. Puede asignar cualquiera de estas directivas a través de Azure Portal, PowerShell o la CLI de Azure. Las directivas se pueden deshabilitar o habilitar desde Azure Policy.

Hay diferentes tipos de directivas en Azure Policy. Defender for Cloud usa principalmente directivas de auditoría que comprueban las condiciones y configuraciones específicas y, a continuación, informan sobre el cumplimiento. También hay directivas de "aplicación" que se pueden usar para aplicar una configuración segura.

¿Qué es una iniciativa de seguridad?

Una iniciativa de Azure Policy es una colección de definiciones de Azure Policy o reglas que se agrupan para un objetivo o propósito específico. Las iniciativas de Azure simplifican la administración de las directivas mediante la agrupación de un conjunto de directivas, lógicamente, como un solo elemento.

Una iniciativa de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar que cumple los requisitos de seguridad de su empresa o reguladores.

Al igual que las directivas de seguridad, las iniciativas de Defender for Cloud también se crean en Azure Policy. Puede usar Azure Policy para administrar las directivas, crear iniciativas y asignar iniciativas a varias suscripciones o para grupos de administración completos.

La iniciativa predeterminada asignada automáticamente a cada suscripción de Microsoft Defender for Cloud es Azure Security Benchmark. Este punto de referencia es el conjunto de directrices específicos de Azure creados por Microsoft para procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este banco de pruebas goza de gran respeto, se basa en los controles de Center for Internet Security (CIS) y del National Institute of Standards and Technology (NIST) y se centra en la seguridad en la nube.

Defender for Cloud ofrece las siguientes opciones para trabajar con iniciativas y directivas de seguridad:

• Ver y editar la iniciativa predeterminada integrada: al habilitar Defender for Cloud, la iniciativa denominada "Azure Security Benchmark" se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud. Para personalizar esta iniciativa, puede habilitar o deshabilitar directivas individuales dentro de ella editando los parámetros de una directiva. Consulte la lista de directivas de seguridad integradas para comprender las opciones disponibles de forma predeterminada.

• Agregar sus propias directivas personalizadas: si quiere personalizar las iniciativas de seguridad que se aplican a su suscripción, puede hacerlo en Defender for Cloud. Recibirá recomendaciones si las máquinas no siguen las directivas que cree. Para obtener instrucciones sobre cómo crear y asignar directivas personalizadas, consulte Uso de iniciativas y directivas de seguridad personalizadas.

• Agregar estándares de cumplimiento normativo como iniciativas: el panel de cumplimiento normativo de Defender for Cloud muestra el estado de todas las evaluaciones dentro de su entorno, en el contexto de un estándar o reglamento determinado (como Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020).

¿Qué es una recomendación de seguridad?

Defender for Cloud usa las directivas para analizar periódicamente el estado de cumplimiento de los recursos para identificar posibles errores de configuración y debilidades de seguridad. A continuación, proporciona recomendaciones sobre cómo corregir esos problemas. Las recomendaciones son el resultado de evaluar los recursos con respecto a las directivas pertinentes e identificar los recursos que no cumplen los requisitos definidos.

Defender for Cloud realiza sus recomendaciones de seguridad en función de las iniciativas elegidas. Cuando una directiva de su iniciativa se compara con sus recursos y encuentra una o más que no son compatibles, se presenta como una recomendación en Defender for Cloud.

Las recomendaciones son acciones que puede realizar para asegurar y reforzar sus recursos. Cada recomendación le proporciona la siguiente información:

• Una breve descripción del problema
• Los pasos de corrección que se deben llevar a cabo para implementar la recomendación
• Los recursos afectados

Azure Security Benchmark es una iniciativa que contiene requisitos.

Por ejemplo, las cuentas de Azure Storage deben restringir el acceso a la red para reducir su superficie expuesta a ataques.

La iniciativa incluye varias directivas, cada una con un requisito de un tipo de recurso específico. Estas directivas aplican los requisitos de la iniciativa.

Para continuar con el ejemplo, se aplica el requisito de almacenamiento con la directiva "Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual".

Microsoft Defender for Cloud evalúa continuamente las suscripciones conectadas. Si encuentra un recurso que no cumple una directiva, muestra una recomendación para corregir esa situación y reforzar la seguridad de los recursos que no cumplen los requisitos de seguridad.

Por ejemplo, si una cuenta de almacenamiento de Azure en cualquiera de sus suscripciones protegidas no está protegida con reglas de red virtual, se le mostrará la recomendación de endurecer esos recursos.

Por lo tanto, (1) una iniciativa incluye (2) directivas que generan (3) recomendaciones específicas del entorno.

Es analista de operaciones de seguridad que trabaja en una empresa que usa Microsoft Defender for Cloud. Es responsable del cumplimiento normativo de los recursos de nube híbrida.

Debe mejorar la cantidad de controles que cumplen con el Azure Security Benchmark, tal como se muestra en Microsoft Defender para la nube.

Ahora que comprende las directivas de seguridad de Microsoft Defender for Cloud, las iniciativas y las recomendaciones lo ven en acción.