Prueba comparativa de seguridad en la nube de Microsoft: protección de datos, registro y detección de amenazas y seguridad de red

Control de seguridad: protección de datos

La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados.

DP-3: Cifrar datos confidenciales en tránsito

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.10	SC-8	3.5, 3.6, 4.1

Principio de seguridad: proteja los datos en tránsito contra ataques "fuera de banda" (como la captura de tráfico) mediante cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Establezca el límite de red y el ámbito de servicio donde el cifrado de datos en tránsito es obligatorio tanto dentro como fuera de la red. Aunque esto es opcional para el tráfico en redes privadas, esto es fundamental para el tráfico en redes públicas y externas.

Guía de Azure: aplique el uso de transferencia segura en servicios como Azure Storage, donde se integra una funcionalidad nativa de cifrado de datos en tránsito.

Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web asegurándose de que los clientes que se conectan a los recursos de Azure usan la seguridad de la capa de transporte (TLS) v1.2 o posterior. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Para la administración remota de máquinas virtuales de Azure, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia de archivos segura, use el servicio SFTP/FTPS en blobs de Azure Storage, aplicaciones de App Service y aplicaciones de funciones, en lugar de usar el servicio FTP normal.

Implementación de Azure y contexto adicional:

• Cifrado doble para datos de Azure en tránsito
• Entender el cifrado en tránsito con Azure
• Información sobre la seguridad de TLS
• Aplicación de una transferencia segura en Azure Storage

Guía de AWS: aplique la transferencia segura en servicios como Amazon S3, RDS y CloudFront, donde se ha integrado una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS (como en AWS Elastic Load Balancer) para servicios y aplicaciones web de carga de trabajo (ya sea en el lado servidor o en el lado cliente) asegurándose de que los clientes que se conectan a los recursos de AWS usen TLS v1.2 o posterior.

Para la administración remota de instancias EC2, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia segura de archivos, use el servicio SFTP o FTPS de AWS Transfer en lugar de un servicio FTP normal.

Implementación de AWS y contexto adicional:

• Políticas de seguridad TLS en Elastic Load Balancer
• AWS Transfer SFTP y FTPS

Guía de GCP: Haga cumplir la transferencia segura en servicios como Google Cloud Storage, donde se incorpora una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web, lo que garantiza que los clientes que se conectan a los recursos de GCP usen la seguridad de la capa de transporte (TLS) v1.2 o posterior.

Para la administración remota, Google Cloud Compute Engine usa SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia segura de archivos, use el servicio SFTP/FTPS en servicios como Google Cloud Big Query o Cloud App Engine en lugar de un servicio FTP normal.

Implementación de GCP y contexto adicional:

• Cifrado en tránsito
• Cifrado en tránsito en Google Cloud

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps
• Seguridad de datos

Control de seguridad: registro y detección de amenazas

El registro y la detección de amenazas abarcan los controles para detectar amenazas en la nube y habilitar, recopilar y almacenar registros de auditoría para servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en servicios en la nube; también incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización del análisis de seguridad con un SIEM, la sincronización de tiempo y la retención de registros.

LT-4: Habilitación del registro de red para la investigación de seguridad

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Principio de seguridad: habilite el registro de los servicios de red para admitir investigaciones de incidentes relacionadas con la red, la búsqueda de amenazas y la generación de alertas de seguridad. Los registros de red pueden incluir registros de servicios de red, como el filtrado de IP, el firewall de aplicaciones y redes, DNS y la supervisión de flujos, entre otros.

Guía de Azure: Habilite y recopile registros de recursos del grupo de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) y registros de máquinas virtuales a través del agente de recopilación de datos de tráfico de red para el análisis de seguridad para admitir investigaciones de incidentes de soporte técnico y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Log Analytics de Azure Monitor y, a continuación, usar Análisis de tráfico para proporcionar información.

Recopile registros de consultas DNS para ayudar a correlacionar otros datos de red.

Implementación de Azure y contexto adicional:

• Cómo habilitar los registros de flujo del grupo de seguridad de red
• Registros y métricas de Azure Firewall
• Soluciones de supervisión de redes de Azure en Azure Monitor
• Recopilación de información sobre la infraestructura DNS con la solución DE ANÁLISIS DE DNS

Guía de AWS: habilite y recopile registros de red, como registros de flujo de VPC, registros de WAF y registros de consultas del resolutor de Route53 para el análisis de seguridad, con el fin de apoyar investigaciones de incidentes y la generación de alertas de seguridad. Los registros se pueden exportar a CloudWatch para la supervisión o un cubo de almacenamiento S3 para la ingesta en la solución de Microsoft Sentinel para el análisis centralizado.

Implementación de AWS y contexto adicional:

• Habilitación del registro desde determinados servicios de AWS

Guía de GCP: la mayoría de los registros de actividades de red están disponibles a través de los registros de flujo de VPC, que registran una muestra de flujos de red enviados y recibidos por recursos, incluidas las instancias que se usan como máquinas virtuales de Google Compute, nodos del motor de Kubernetes. Estos registros se pueden usar para la supervisión de red, los análisis forenses, el análisis de seguridad en tiempo real y la optimización de gastos.

Puede ver los registros de flujo en Registro en la nube y exportar registros al destino que admite la exportación de registro en la nube. Los registros de flujo se agregan por conexión desde las VMs de Compute Engine y se exportan en tiempo real. Al suscribirse a Pub/Sub, puede analizar los registros de flujo mediante las API de streaming en tiempo real.

Implementación de GCP y contexto adicional:

• Usar registros de flujo de VPC
• Información de registro de auditoría de VPC
• Reflejo de paquetes

Partes interesadas de la seguridad del cliente (más información):

• Operaciones de seguridad
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps
• Inteligencia sobre amenazas

Control de seguridad: Seguridad de red

La seguridad de red cubre los controles para proteger y proteger las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS.

NS-1: Establecer límites de segmentación de red

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.12, 13.4, 4.4	AC-4, SC-2, SC-7	1.1, 1.2, 1.3

Principio de seguridad: asegúrese de que la implementación de la red virtual se alinea con la estrategia de segmentación empresarial definida en el control de seguridad GS-2. Toda carga de trabajo que pueda incurrir en un mayor riesgo para la organización debe estar en redes virtuales aisladas.

Entre los ejemplos de carga de trabajo de alto riesgo se incluyen:

• Una aplicación que almacena o procesa datos sumamente confidenciales.
• Una aplicación orientada a una red externa, a la que pueden acceder los usuarios públicos o ajenos a la organización.
• Una aplicación que usa una arquitectura no segura o que contiene vulnerabilidades que no se pueden corregir fácilmente.

Para mejorar la estrategia de segmentación empresarial, restrinja o supervise el tráfico entre los recursos internos mediante controles de red. Para aplicaciones específicas bien definidas (como una aplicación de tres niveles), puede tratarse de un enfoque altamente seguro de "denegar de manera predeterminada, permitir por excepción", mediante la restricción de los puertos, protocolos, direcciones IP de origen y destino del tráfico de red. Si tiene muchas aplicaciones y puntos de conexión que interactúan entre sí, es posible que el bloqueo del tráfico no se escale bien y que solo pueda supervisar el tráfico.

Guía de Azure: cree una red virtual (VNet) como un enfoque de segmentación fundamental en la red de Azure, por lo que los recursos como las máquinas virtuales se pueden implementar en la red virtual dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de la red virtual para subredes más pequeñas.

Use grupos de seguridad de red (NSG) como control de la capa de red para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Consulte NS-7: Simplificar la configuración de seguridad de red para usar el Fortalecimiento Adaptativo de la Red y recomendar reglas de endurecimiento del NSG basadas en la inteligencia sobre amenazas y el resultado del análisis del tráfico.

También puede usar grupos de seguridad de aplicaciones (ASG) para simplificar una configuración compleja. En lugar de definir directivas en función de las direcciones IP explícitas de los grupos de seguridad, los ASG le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.

Implementación de Azure y contexto adicional:

• Conceptos y procedimientos recomendados de Azure Virtual Network
• Agregar, cambiar o eliminar una subred de red virtual
• Creación de un grupo de seguridad de red con reglas de seguridad
• Descripción y uso de grupos de seguridad de aplicaciones

Guía de AWS: cree una nube privada virtual (VPC) como un enfoque fundamental de segmentación en la red de AWS, por lo que los recursos como las instancias EC2 se pueden implementar en la VPC dentro de un límite de red. Para segmentar aún más la red, puede crear subredes dentro de VPC para subredes más pequeñas.

En el caso de las instancias EC2, use los Grupos de Seguridad como un cortafuegos con estado para restringir el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. En el nivel de subred de VPC, use la lista de control de acceso de red (NACL) como firewall sin estado para tener reglas explícitas para el tráfico de entrada y salida a la subred.

Implementación de AWS y contexto adicional:

• Controlar tráfico a instancias EC2 con grupos de seguridad
• Comparación de grupos de seguridad y ACL de red
• Puerta de enlace de Internet
• Puerta de enlace NAT

Guía de GCP: cree una red de nube privada virtual (VPC) como un enfoque de segmentación fundamental en la red de GCP, para que los recursos como las instancias de máquina virtual (VM) de Compute Engine se puedan implementar en la red de VPC dentro de los límites de la red. Para segmentar aún más la red, puede crear subredes dentro de la VPC para subredes más pequeñas.

Use reglas de firewall de VPC como control de capa de red distribuida para permitir o denegar conexiones a o desde sus instancias de destino en la red de VPC, que incluyen máquinas virtuales, clústeres de Google Kubernetes Engine (GKE) y instancias de entorno flexible de App Engine.

También puede configurar reglas de firewall de VPC para que tengan como destino todas las instancias de la red de VPC, las instancias con una etiqueta de red coincidente o instancias que usen una cuenta de servicio específica, lo que le permite agrupar instancias y definir directivas de seguridad de red basadas en esos grupos.

Implementación de GCP y contexto adicional:

• Creación y administración de redes vpc
• Subredes de VPC de Google Cloud
• Uso de reglas de firewall de VPC
• Adición de etiquetas de red

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-2: Protección de servicios nativos en la nube con controles de red

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.12, 4.4	AC-4, SC-2, SC-7	1.1, 1.2, 1.3

Principio de seguridad: proteja los servicios en la nube mediante el establecimiento de un punto de acceso privado para los recursos. También debe deshabilitar o restringir el acceso desde redes públicas siempre que sea posible.

Guía de Azure: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos. El uso de Private Link impide que la conexión privada se enruta a través de la red pública.

Para determinados servicios, puede optar por implementar la integración de red virtual para el servicio, donde puede restringir la red virtual para establecer un punto de acceso privado para el servicio.

También tiene la opción de configurar las reglas de ACL de red nativa del servicio o simplemente deshabilitar el acceso a la red pública para bloquear el acceso desde redes públicas.

En el caso de las máquinas virtuales de Azure, a menos que haya un caso de uso seguro, debe evitar asignar direcciones IP o subred públicas directamente a la interfaz de máquina virtual y, en su lugar, usar servicios de puerta de enlace o equilibrador de carga como front-end para el acceso por parte de la red pública.

Implementación de Azure y contexto adicional:

• Descripción de Azure Private Link
• Integración de servicios de Azure con redes virtuales para el aislamiento de red

Guía de AWS: implemente VPC PrivateLink para todos los recursos de AWS que admiten la característica PrivateLink, para permitir la conexión privada a los servicios o servicios de AWS admitidos hospedados por otras cuentas de AWS (servicios de punto de conexión de VPC). El uso de PrivateLink impide que la conexión privada se enruta a través de la red pública.

Para determinados servicios, puede optar por implementar la instancia de servicio en su propia VPC para aislar el tráfico.

También tiene la opción de configurar las reglas de ACL nativas del servicio para bloquear el acceso desde la red pública. Por ejemplo, Amazon S3 permite bloquear el acceso público en el nivel de cubo o cuenta.

Al asignar direcciones IP a los recursos de servicio en la VPC, a menos que haya un caso de uso seguro, debe evitar asignar direcciones IP o subred públicas directamente a los recursos y, en su lugar, usar direcciones IP o subred privadas.

Implementación de AWS y contexto adicional:

• AWS PrivateLink
• Bloqueo del acceso público al almacenamiento de Amazon S3

Guía de GCP: implemente implementaciones de Google Access privado de VPC para todos los recursos de GCP que lo admitan para establecer un punto de acceso privado para los recursos. Estas opciones de acceso privado impiden que la conexión privada se enruta a través de la red pública. Private Google Access tiene instancias de máquina virtual que solo tienen direcciones IP internas (sin direcciones IP externas)

Para determinados servicios, puede optar por implementar la instancia de servicio en su propia VPC para aislar el tráfico. También tiene la opción de configurar las reglas de ACL nativas del servicio para bloquear el acceso desde la red pública. Por ejemplo, el firewall de App Engine permite controlar qué tráfico de red se permite o rechaza al comunicarse con el recurso de App Engine. El almacenamiento en la nube es otro recurso en el que puede aplicar la prevención de acceso público en cubos individuales o en el nivel de organización.

En el caso de las máquinas virtuales del motor de proceso de GCP, a menos que haya un caso de uso seguro, debe evitar asignar direcciones IP o subredes públicas directamente a la interfaz de máquina virtual y, en su lugar, usar servicios de puerta de enlace o equilibrador de carga como front-end para el acceso por parte de la red pública.

Implementación de GCP y contexto adicional:

• Acceso privado a Google
• Opciones de acceso privado para servicios
• Descripción del firewall de App Engine
• Almacenamiento en la nube: uso de la prevención de acceso público

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-3: Implementación de un firewall en el perímetro de la red empresarial

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
4.4, 4.8, 13.10	AC-4, SC-7, CM-7	1.1, 1.2, 1.3

Principio de seguridad: implemente un firewall para realizar un filtrado avanzado en el tráfico de red hacia y desde redes externas. También puede usar firewalls entre segmentos internos como refuerzo de una estrategia de segmentación. Si es necesario, use rutas personalizadas para la subred para invalidar la ruta del sistema cuando necesite forzar que el tráfico de red pase por un dispositivo de red con fines de control de seguridad.

Como mínimo, bloquee las direcciones IP incorrectas conocidas y los protocolos de alto riesgo, como la administración remota (por ejemplo, RDP y SSH) y los protocolos de intranet (por ejemplo, SMB y Kerberos).
Guía de Azure: Use Azure Firewall para proporcionar una restricción de tráfico de capa de aplicación totalmente con estado (como el filtrado de direcciones URL) y/o una administración central en un gran número de segmentos o radiales empresariales (en una topología hub/radial).

Si tiene una topología de red compleja, como una configuración en estrella tipo hub-and-spoke, puede que tenga que crear rutas definidas por el usuario (UDR) para asegurarse de que el tráfico pase por la ruta deseada. Por ejemplo, tiene la opción de usar una UDR para redirigir el tráfico de Internet de salida a través de azure Firewall o una aplicación virtual de red específica.

Implementación de Azure y contexto adicional:

• Implementación de Azure Firewall
• Enrutamiento del tráfico de red virtual

Guía de AWS: Use Firewall de red de AWS para proporcionar una restricción de tráfico de capa de aplicación totalmente con estado (como el filtrado de direcciones URL) y/o una administración central en un gran número de segmentos o radiales empresariales (en una topología hub/radial).

Si tiene una topología de red compleja, como una configuración de hub y radial, es posible que tenga que crear tablas de rutas de VPC personalizadas para asegurarse de que el tráfico pasa por la ruta deseada. Por ejemplo, tiene la opción de usar una ruta personalizada para redirigir el tráfico de Internet de salida a través de un firewall de AWS específico o una aplicación virtual de red.

Implementación de AWS y contexto adicional:

• Firewall de red de AWS
• AWS VPC configura tablas de rutas personalizadas

Guía de GCP: use las directivas de seguridad de Google Cloud Armor para proporcionar filtrado de nivel 7 y protección de ataques web comunes. Además, use reglas de firewall de VPC para proporcionar restricciones de tráfico de capa de red distribuidas, totalmente con estado y directivas de firewall para la administración central en un gran número de segmentos o radios empresariales (en una topología en estrella tipo hub/radial).

Si tiene una topología de red compleja, como una configuración tipo hub/spoke, cree políticas de firewall que agrupen reglas de firewall y que sean jerárquicas para que se puedan aplicar a varias redes VPC.

Implementación de GCP y contexto adicional:

• Uso de reglas de firewall de VPC
• Directivas de firewall
• Procedimientos recomendados de Google Cloud Armor

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-5: Desplegar protección contra DDOS

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
13.10	SC-5, SC-7	1.1, 1.2, 1.3, 6.6

Principio de seguridad: implemente la protección contra denegación de servicio distribuido (DDoS) para proteger la red y las aplicaciones frente a ataques.

Guía de Azure: DDoS Protection Basic se habilita automáticamente para proteger la infraestructura de la plataforma subyacente de Azure (por ejemplo, Azure DNS) y no requiere ninguna configuración de los usuarios.

Para obtener mayores niveles de protección de la capa de aplicación (nivel 7), como inundaciones HTTP e inundaciones de DNS, habilite el plan de protección estándar de DDoS en la red virtual para proteger los recursos expuestos a las redes públicas.

Implementación de Azure y contexto adicional:

• Administrar la Protección DDoS Estándar de Azure mediante el portal de Azure

Guía de AWS: AWS Shield Standard se habilita automáticamente con mitigaciones estándar para proteger la carga de trabajo frente a ataques DDoS comunes de la capa de red y transporte (nivel 3 y 4)

Para obtener mayores niveles de protección de las aplicaciones frente a ataques de capa de aplicación (nivel 7), como inundaciones HTTPS e inundaciones de DNS, habilite la protección avanzada de AWS Shield en Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53.

Implementación de AWS y contexto adicional:

• Características de AWS Shield

Guía de GCP: Google Cloud Armor ofrece las siguientes opciones para ayudar a proteger los sistemas frente a ataques DDoS:

• Protección contra DDoS de red estándar: protección básica siempre activa para equilibradores de carga de red, reenvío de protocolos o máquinas virtuales con direcciones IP públicas.
• Protección contra DDoS de red avanzada: protecciones adicionales para suscriptores de Managed Protection Plus que usan equilibradores de carga de red, reenvío de protocolos o máquinas virtuales con direcciones IP públicas.
• La protección contra DDoS de red estándar siempre está habilitada. Puede configurar la protección contra DDoS de red avanzada por región.

Implementación de GCP y contexto adicional:

• Configuración de la protección contra DDoS de red avanzada
• Introducción a Google Cloud Armor
• Introducción a las directivas de Seguridad de Google Cloud Armor

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-6: Implementación de un firewall de aplicaciones web

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
13.10	SC-7	1.1, 1.2, 1.3

Principio de seguridad: implemente un firewall de aplicaciones web (WAF) y configure las reglas adecuadas para proteger las aplicaciones web y las API frente a ataques específicos de la aplicación.

Guía de Azure: use funcionalidades de firewall de aplicaciones web (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger las aplicaciones, los servicios y las API frente a ataques de capa de aplicación en el perímetro de la red.

Establezca el WAF en el modo "detección" o "prevención", en función de sus necesidades y del panorama de amenazas.

Elija un conjunto de reglas integrado, como vulnerabilidades principales de OWASP 10, y afinalo a las necesidades de la aplicación.

Implementación de Azure y contexto adicional:

• Implementación de AZURE WAF

Guía de AWS: Use AWS Web Application Firewall (WAF) en la distribución de Amazon CloudFront, Amazon API Gateway, Application Load Balancer o AWS AppSync para proteger sus aplicaciones, servicios y API frente a ataques de capas de aplicación en el perímetro de la red.

Use las reglas administradas de AWS para WAF para implementar grupos de línea de base integrados y personalizarlos en las necesidades de la aplicación para los grupos de reglas de casos de usuario.

Para simplificar la implementación de reglas de WAF, también puede usar la solución AWS WAF Security Automations para implementar automáticamente reglas de AWS WAF predefinidas que filtran los ataques basados en web en la ACL web.

Implementación de AWS y contexto adicional:

• Funcionamiento de AWS WAF
• Reglas administradas de AWS para AWS WAF

Guía de GCP: use Google Cloud Armor para ayudar a proteger sus aplicaciones y sitios web frente a ataques por denegación de servicio y web.

Use las reglas integradas de Google Cloud Armor basadas en estándares del sector para mitigar las vulnerabilidades comunes de las aplicaciones web y ayudar a proporcionar protección contra OWASP Top 10.

Configure las reglas de WAF preconfiguradas, cada una de las cuales consta de varias firmas procedentes de ModSecurity Core Rules (CRS). Cada firma corresponde a una regla de detección de ataques en el conjunto de reglas.

Cloud Armor funciona junto con equilibradores de carga externos y protege contra la denegación de servicio distribuida (DDoS) y otros ataques basados en web, tanto si las aplicaciones se implementan en Google Cloud, en una implementación híbrida o en una arquitectura multinube. Las directivas de seguridad se pueden configurar manualmente, con condiciones de coincidencia configurables y acciones en una directiva de seguridad. Cloud Armor también incluye directivas de seguridad preconfiguradas, que abarcan una variedad de casos de uso.

La protección adaptable en Cloud Armor le ayuda a evitar, detectar y proteger la aplicación y los servicios frente a ataques distribuidos L7 mediante el análisis de patrones de tráfico a los servicios back-end, la detección y alerta de ataques sospechosos y la generación de reglas de WAF sugeridas para mitigar estos ataques. Estas reglas se pueden ajustar para satisfacer sus necesidades.

Implementación de GCP y contexto adicional:

• Google Cloud Armor
• Documentación de Apigee
• Integración de Google Cloud Armor con otros productos de Google

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-8: Detección y deshabilitación de protocolos y servicios no seguros

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
4.4, 4.8	CM-2, CM-6, CM-7	4.1, A2.1, A2.2, A2.3

Principio de seguridad: detecte y deshabilite los servicios y protocolos no seguros en el sistema operativo, la aplicación o el nivel de paquete de software. Implemente controles de compensación si no es posible deshabilitar los servicios y protocolos no seguros.

Guía de Azure: use el libro de protocolo inseguro integrado de Microsoft Sentinel para detectar el uso de servicios y protocolos no seguros, como SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cifrados débiles en Kerberos y enlaces LDAP sin firmar. Deshabilite los servicios y protocolos no seguros que no cumplan el estándar de seguridad adecuado.

Implementación de Azure y contexto adicional:

• Libro de protocolos no seguros de Azure Sentinel

Guía de AWS: habilite los registros de flujo de VPC y use GuardDuty para analizar los registros de flujo de VPC para identificar los posibles servicios y protocolos no seguros que no cumplen el estándar de seguridad adecuado.

Si los registros del entorno de AWS se pueden reenviar a Microsoft Sentinel, también puede usar el libro de protocolo no seguro integrado de Microsoft Sentinel para detectar el uso de servicios y protocolos no seguros.

Implementación de AWS y contexto adicional:

• Uso de GuardDuty con registros de flujo de VPC como origen de datos

Guía de GCP: habilite los registros de flujo de VPC y use BigQuery o Security Command Center para analizar los registros de flujo de VPC para identificar los posibles servicios y protocolos no seguros que no cumplen el estándar de seguridad adecuado.

Si los registros del entorno de GCP se pueden reenviar a Microsoft Sentinel, también puede usar el libro de protocolos no seguros integrado de Microsoft Sentinel para detectar el uso de servicios y protocolos no seguros. Además, puede reenviar registros a Google Cloud Chronicle SIEM y SOAR y crear reglas personalizadas para el mismo propósito.

Implementación de GCP y contexto adicional:

• Usar registros de flujo de VPC
• Análisis de registros de seguridad en Google Cloud
• Introducción a BigQuery - Introducción a Security Command Center
• Microsoft Sentinel para cargas de trabajo de GCP

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps

NS-9: Conexión privada a una red local o en la nube

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
12.7	CA-3, AC-17, AC-4	No disponible

Principio de seguridad: use conexiones privadas para la comunicación segura entre diferentes redes, como centros de datos del proveedor de servicios en la nube y la infraestructura local en un entorno de coubicación.

Guía de Azure: para la conectividad ligera de sitio a sitio o de punto a sitio, use la red privada virtual (VPN) de Azure para crear una conexión segura entre el sitio local o el dispositivo de usuario final y la red virtual de Azure.

En el caso de las conexiones de alto rendimiento de nivel empresarial, use Azure ExpressRoute (o Virtual WAN) para conectar centros de datos de Azure y infraestructura local en un entorno de colocalización.

Al conectar dos o más redes virtuales de Azure entre sí, use el emparejamiento de red virtual. El tráfico de red entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Implementación de Azure y contexto adicional:

• Introducción a vpn de Azure
• ¿Cuáles son los modelos de conectividad de ExpressRoute?
• Emparejamiento de red virtual

Guía de AWS: para la conectividad de sitio a sitio o de punto a sitio, use AWS VPN para crear una conexión segura (cuando la sobrecarga de IPsec no es un problema) entre el sitio local o el dispositivo de usuario final a la red de AWS.

Para las conexiones de alto rendimiento de nivel empresarial, use AWS Direct Connect para conectar recursos y VPC de AWS con su infraestructura local en un entorno de coubicación.

Tiene la opción de usar el emparejamiento de VPC o la puerta de enlace de tránsito para establecer la conectividad entre dos o más VPN dentro o entre regiones. El tráfico de red entre VPCs emparejadas es privado y se mantiene en la red troncal de AWS. Cuando necesite unir varias VPN para crear una subred plana grande, también tiene la opción de usar el uso compartido de VPC.

Implementación de AWS y contexto adicional:

• Introducción a AWS Direct Connect
• Introducción a LA VPN de AWS
• Puerta de enlace de tránsito
• Crear y aceptar conexiones de emparejamiento de VPC
• Uso compartido de VPC

Guía de GCP: para una conectividad ligera de sitio a sitio o de punto a sitio, use la VPN de Google Cloud.

Para las conexiones de alto rendimiento de nivel empresarial, use Google Cloud Interconnect o Partner Interconnect, para conectarse a recursos y VPC de Google Cloud con su infraestructura local en un entorno de coubicación.

Tiene la opción de usar el emparejamiento de red de VPC o el Centro de conectividad de red para establecer la conectividad entre dos o más VPN dentro o a través de regiones. El tráfico de red entre las VPN emparejadas es privado y se mantiene en la red troncal de GCP. Cuando necesite unir varias VPC para crear una subred plana grande, también tiene la opción de usar Shared VPC.

Implementación de GCP y contexto adicional:

• Introducción a vpn en la nube
• Interconexión en la nube, interconexión dedicada e interconexión de asociados
• Introducción al Centro de conectividad de red
• Private Service Connect

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Administración de la posición
• Seguridad de aplicaciones y DevOps