Posición de seguridad para Microsoft Defender for Cloud

Información general de la puntuación segura

Microsoft Defender for Cloud tiene dos objetivos principales:

  • ayudarle a entender su situación de seguridad actual
  • ayudarle a mejorar la seguridad de forma eficaz

La característica principal de Defender for Cloud que le ayudará a conseguir estos objetivos es la puntuación de seguridad.

Defender for Cloud evalúa continuamente los recursos en distintas nubes en busca de problemas de seguridad. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

  • En las páginas de Azure Portal, la puntuación de seguridad se muestra como un valor de porcentaje y los valores subyacentes también se presentan claramente:

    Puntuación de seguridad general como se muestra en el portal.

  • En Azure Mobile App, la puntuación de seguridad se muestra como un valor de porcentaje. Para ver los detalles que explican esa puntuación, puede pulsarla:

    Puntuación de seguridad general tal y como se muestra en la aplicación móvil de Azure.

Para aumentar la seguridad, revise la página de recomendaciones de Defender for Cloud e implemente las instrucciones de corrección para cada problema hasta que la recomendación desparezca. Las recomendaciones se agrupan en controles de seguridad. Cada control es un grupo lógico de recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables. La puntuación solo mejora cuando corrige todas las recomendaciones para un solo recurso de un control. Para ver cómo protege su organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada control de seguridad.

Para más información, consulte Cálculo de la puntuación de seguridad a continuación.

Administración de la posición de seguridad

En la página de posición de seguridad verá la puntuación de seguridad de toda la suscripción y de cada entorno de esta. De manera predeterminada se muestran todos los entornos.

Captura de pantalla de la página de posición de seguridad.

Sección de la página Descripción
Captura de pantalla que muestra las diferentes opciones de entorno. Seleccione el entorno para ver su puntuación de seguridad y los detalles. Se pueden seleccionar varios entornos a la vez. La página cambiará en función de su selección.
Captura de pantalla de la sección entorno de la página de posición de seguridad. Muestra el total de suscripciones, cuentas y proyectos que afectan a la puntuación global. También muestra cuántos recursos incorrectos y cuántas recomendaciones existen en los entornos.

La mitad inferior de la página permite ver y administrar la puntuación individual de seguridad, el número de recursos incorrectos e incluso ver sus recomendaciones de todas las suscripciones, cuentas y proyectos individuales.

Para agrupar esta sección por entorno, seleccione la casilla Agrupar por entorno.

Captura de pantalla de la mitad inferior de la página de posición de seguridad.

Cálculo de la puntuación de seguridad

La contribución de cada control de seguridad a la puntuación de seguridad total se muestra en la página de recomendaciones.

Controles de seguridad de Microsoft Defender for Cloud y su impacto en su puntuación segura.

Para obtener todos los puntos posibles de un control de seguridad, todos los recursos deberán cumplir las recomendaciones de seguridad de ese control. Por ejemplo, Defender for Cloud tiene varias recomendaciones sobre cómo proteger los puertos de administración. Deberá corregirlas todas para que la puntuación de seguridad mejore.

Puntuaciones de ejemplo para un control

Captura de pantalla que muestra cómo aplicar controles de seguridad para las actualizaciones del sistema.

En este ejemplo:

  • Control de seguridad Remediate vulnerabilities (Corregir vulnerabilidades): este control agrupa varias recomendaciones relacionadas con el descubrimiento y la resolución de vulnerabilidades conocidas.

  • Puntuación máxima: el número máximo de puntos que puede obtener al completar todas las recomendaciones de un control. La puntuación máxima de un control indica la importancia relativa de ese control y es fija para cada entorno. Use los valores de puntuación máxima para evaluar la prioridad de los problemas.
    Para obtener una lista de todos los controles y sus puntuaciones máximas, consulte Controles de seguridad y sus recomendaciones.

  • Puntuación actual: la puntuación actual de este control.

    Puntuación actual = [Puntuación por recurso] * [Número de recursos en buen estado]

    Cada control contribuye a la puntuación total. En este ejemplo, el control contribuye con 2,00 puntos a la puntuación total de seguridad actual.

  • Mejora potencial de la puntuación: los puntos restantes disponibles para el usuario en el control. Si corrige todas las recomendaciones de este control, la puntuación aumentará en un 9 %.

    Mejora potencial de puntuación = [Puntuación por recurso] * [Número de recursos incorrectos]

  • Información: proporciona detalles adicionales de cada recomendación, como:

    • Preview recommendation (Recomendación de versión preliminar): esta recomendación no afectará a su puntuación de seguridad hasta que haya disponibilidad general.

    • Corregido: desde la página de detalles de la recomendación puede usar "Corregido" para resolver este problema.

    • Aplicar: desde la página de detalles de la recomendación puede implementar automáticamente una directiva para corregir este problema cada vez que alguien cree un recurso no conforme.

    • Denegar: desde la página de detalles de la recomendación puede evitar la creación de recursos que tengan este problema.

Cálculos: Descripción de la puntuación

Métrica Fórmula y ejemplo
Puntuación actual del control de seguridad
Ecuación para calcular la puntuación de un control de seguridad.

Cada control de seguridad individual contribuye a la puntuación de seguridad. Cada recurso afectado por una recomendación dentro del control contribuye a la puntuación actual de este. La puntuación actual de cada control es una medida del estado de los recursos que están dentro del control.
Información sobre herramientas que muestra los valores que se usan al calcular la puntuación actual del control de seguridad
En este ejemplo, la puntuación máxima de 6 se divide entre 78, ya que esta es la suma de los recursos correctos e incorrectos.
6 / 78 = 0,0769
La multiplicación de esa cifra por el número de recursos correctos (4) da como resultado la puntuación actual:
0.0769 * 4 = 0.31

Puntuación segura
Suscripción única o conector

Ecuación para calcular la puntuación de seguridad de una suscripción

Puntuación de seguridad de una suscripción única con todos los controles habilitados
En este ejemplo hay una suscripción única o conector con todos los controles de seguridad disponibles (una puntuación máxima posible de 60 puntos). La puntuación muestra 28 puntos de los 60 posibles y los 32 puntos restantes se reflejan en las cifras de "Posible aumento de puntuación" de los controles de seguridad.
Lista de controles y posible aumento de puntuación
Esta ecuación es la misma para un conector solo que se reemplaza la palabra subscription por la palabra connector.
Puntuación segura
Varias suscripciones y conectores

Ecuación para calcular la puntuación de seguridad de varias suscripciones.

La puntuación combinada para varias suscripciones y conectores incluye una ponderación para cada suscripción y conector. Las ponderaciones relativas de las suscripciones y los conectores se determinan mediante Defender for Cloud en función de factores como el número de recursos.
La puntuación actual de cada suscripción y conector se calcula de la misma manera que para una sola suscripción o conector, pero la ponderación se aplica como se muestra en la ecuación.
Cuando ve varias suscripciones y conectores, la puntuación de seguridad evalúa todos los recursos de todas las directivas habilitadas y agrupa su impacto combinado en la puntuación máxima de cada control de seguridad.
Puntuación de seguridad de varias suscripciones con todos los controles habilitado
La puntuación combinada no es un promedio; en vez de eso, es la posición evaluada del estado de todos los recursos de todas las suscripciones y conectores.

También en este caso, si va a la página de recomendaciones y suma los puntos posibles disponibles, observará que esta es la diferencia entre la puntuación actual (22) y la puntuación máxima disponible (58).

¿Qué recomendaciones se incluyen en los cálculos de la puntuación de seguridad?

Solo las recomendaciones integradas afectan a la puntuación de seguridad.

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de seguridad. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación.

Las recomendaciones en versión preliminar se marcan con:

Mejora de su puntuación de seguridad

Para mejorar la puntuación de seguridad, corrija las recomendaciones de seguridad de la lista de recomendaciones. Puede corregir manualmente cada recomendación en cada recurso o bien usar la opción Corregir (cuando esté disponible) para resolver el mismo problema en varios recursos rápidamente. Para más información, consulte Corrección de recomendaciones.

También puede configurar las opciones "Forzar" y "Denegar" en las recomendaciones pertinentes para mejorar la puntuación y asegurarse de que los usuarios no creen recursos que afecten negativamente a la puntuación.

Controles de seguridad y sus recomendaciones

En la tabla siguiente se enumeran los controles de seguridad de Microsoft Defender for Cloud. Para cada control, puede ver el número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control, para todos los recursos.

El conjunto de recomendaciones de seguridad proporcionadas con Defender for Cloud se adapta a los recursos disponibles en el entorno de cada organización. Para personalizar aún más las recomendaciones, puede deshabilitar directivas y excluir recursos específicos de una recomendación.

Se recomienda que cada organización revise cuidadosamente sus iniciativas asignadas de Azure Policy.

Sugerencia

Para obtener información detallada sobre cómo revisar y editar iniciativas, consulte el artículo Administrar directivas de seguridad.

Aunque la iniciativa de seguridad predeterminada de Defender for Cloud se basa en los estándares y procedimientos recomendados del sector, hay escenarios en los que es posible que las recomendaciones integradas que se indican a continuación no se ajusten completamente a su organización. A veces será necesario ajustar la iniciativa predeterminada (sin comprometer la seguridad) para asegurarse de que esté alineada con las directivas propias de la organización, así como con los estándares del sector, los estándares normativos y los puntos de referencia.

Puntuación segura Control de seguridad y descripción Recomendaciones
10 Habilitación de MFA - Defender for Cloud da mucho valor a la autenticación multifactor (MFA). Use estas recomendaciones para proteger a los usuarios de las suscripciones.
Hay tres maneras de habilitar MFA para cumplir con las recomendaciones de Security Center: valores predeterminados de seguridad, asignación por usuario y directiva de acceso condicional. Puede encontrar más información sobre estas opciones en Administración de la aplicación de la autenticación multifactor (MFA) en las suscripciones.
- Las cuentas que tengan permisos de propietario sobre los recursos de Azure deben habilitarse para usar MFA
- Las cuentas que tengan permisos de escritura para los recursos de Azure deben habilitarse para usar MFA
- MFA debe estar habilitada en las cuentas con permisos de propietario en las suscripciones
- MFA debe estar habilitada en las cuentas con permisos de escritura en las suscripciones
8 Puertos de administración seguros - A menudo los ataques por fuerza bruta se dirigen a puertos de administración. Use estas recomendaciones para reducir la exposición con herramientas como acceso a máquinas virtuales Just-In-Time y grupos de seguridad de red. - Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red
- Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time
- Se deben cerrar los puertos de administración en las máquinas virtuales
6 Aplicar actualizaciones del sistema - No aplicar actualizaciones deja vulnerabilidades sin revisiones y da lugar a entornos susceptibles a ataques. Use estas recomendaciones para mantener la eficacia operativa, reducir las vulnerabilidades de seguridad y proporcionar un entorno más estable para los usuarios finales. Para implementar actualizaciones del sistema, puede usar la solución Update Management para administrar las actualizaciones y las revisiones de las máquinas. - El agente de Log Analytics debe instalarse en las máquinas basadas en Linux y habilitadas para Azure Arc
- El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas basadas en Windows y habilitadas para Azure Arc
- Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales
- Se deben instalar las actualizaciones del sistema en las máquinas
- Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)
6 Corrección de vulnerabilidades - Defender for Cloud incluye varios detectores de evaluación de vulnerabilidades para comprobar las máquinas, las bases de datos y los registros de contenedor en busca de puntos débiles que los actores de amenazas puedan aprovechar. Use estas recomendaciones para habilitar estos detectores y revisar sus hallazgos.
Más información sobre el examen de máquinas, servidores SQL y registros de contenedor.
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
- Los resultados de los exámenes de código de los repositorios de código deben estar resueltos
- Los resultados de los exámenes de Dependabot de los repositorios de código deben estar resueltos
- Los resultados de los exámenes de infraestructura como código de los repositorios de código deben estar resueltos
- Los resultados de los exámenes de secretos de los repositorios de código deben estar resueltos
- Las imágenes de contenedor solo deben implementarse desde registros de confianza
- Se debe actuar en base a las conclusiones alcanzadas sobre la vulnerabilidad de las imágenes de registro de contenedor
- Las aplicaciones de funciones deben tener resueltos los resultados de vulnerabilidades.
- Los clústeres de Kubernetes deben regular la implementación de imágenes vulnerables.
- Las máquinas deben tener una solución de evaluación de vulnerabilidades
- Se debe actuar en base a las conclusiones alcanzadas sobre la vulnerabilidad de las máquinas
- Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidades.
4 Corregir configuraciones de seguridad - Los recursos de TI incorrectamente configurados presentan un riesgo mayor de sufrir ataques. Use estas recomendaciones para proteger las configuraciones incorrectas identificadas en toda la infraestructura. - Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- Los resultados de la posición de seguridad de Azure DevOps deben estar resueltos
- Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
- Los contenedores solo deben usar perfiles de AppArmor permitidos.
- El agente de Log Analytics debe instalarse en las máquinas basadas en Linux y habilitadas para Azure Arc
- El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas basadas en Windows y habilitadas para Azure Arc
- Las máquinas deben configurarse de forma segura
- Se debe actuar en base a las conclusiones alcanzadas sobre la vulnerabilidad de las bases de datos SQL
- Las instancias administradas de SQL deben tener configurada la evaluación de vulnerabilidades
- Se debe actuar en base a las conclusiones alcanzadas sobre la vulnerabilidad de los servidores SQL de las máquinas
- Los servidores de SQL deben tener configurada la evaluación de vulnerabilidades
- Los conjuntos de escalado de máquinas virtuales deben configurarse de forma segura
- Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (con tecnología de Configuración de invitado)
- Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (con tecnología de Configuración de invitado)
4 Administrar acceso y permisos - Una parte fundamental de un programa de seguridad es garantizar que los usuarios tengan el acceso necesario para realizar su trabajo, pero no más que eso: el modelo de acceso con privilegios mínimos. Use estas recomendaciones para administrar los requisitos de identidad y acceso. - La autenticación en máquinas Linux debe requerir claves SSH
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- El único método de autenticación que debe usarse para las cuentas de Azure Cosmos DB es Azure Active Directory
- Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
- Las cuentas bloqueadas que tengan permisos de propietario sobre los recursos de Azure deben quitarse
- Las cuentas bloqueadas que tengan permisos de lectura y escritura para los recursos de Azure deben quitarse
- Se deben evitar los contenedores con elevación de privilegios
- Se deben evitar los contenedores que comparten espacios de nombres de host confidenciales
- Las cuentas en desuso se deben quitar de las suscripciones
- Las cuentas en desuso con permisos de propietario deben quitarse de las suscripciones
- Las cuentas externas con permisos de propietario deben quitarse de las suscripciones
- Las cuentas externas con permisos de escritura deben quitarse de las suscripciones
- Las aplicaciones de funciones deben tener habilitada la opción de certificados de cliente (certificados de cliente entrantes)
- Las cuentas de invitado que tengan permisos de propietario sobre los recursos de Azure deben quitarse
- Las cuentas de invitado que tengan permisos de escritura para los recursos de Azure deben quitarse
- La extensión de configuración de invitado debe estar instalada en las máquinas
- El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse en los contenedores
- Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores
- La identidad administrada debe usarse en las aplicaciones de API
- La identidad administrada debe usarse en las aplicaciones de función
- La identidad administrada debe usarse en las aplicaciones web
- Deben evitarse los contenedores con privilegios
- Se debe usar el control de acceso basado en roles en los servicios de Kubernetes
- Se debe evitar la ejecución de contenedores como usuario raíz
- Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente
- No se debe permitir el acceso público a la cuenta de almacenamiento
- El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de limitar el acceso a los nodos por parte de los contenedores en peligro
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema
4 Habilitar el cifrado en reposo - Use estas recomendaciones para asegurarse de mitigar las configuraciones incorrectas en torno a la protección de los datos almacenados. - Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric
- El cifrado de datos transparente en bases de datos SQL debe estar habilitado
- Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos Compute y Storage
4 Cifrar datos en tránsito: use estas recomendaciones para proteger los datos que se mueven entre componentes, ubicaciones o programas. Estos datos son susceptibles a ataques de tipo "Man in the middle", interceptación y secuestro de sesiones. - Se debe acceder a la aplicación de API App solo a través de HTTPS
- La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos MySQL.
- La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL.
- FTPS se exige en las aplicaciones de API
- FTPS se exige en las aplicaciones de función
- FTPS se exige en las aplicaciones web
- Acceso a Function App solo a través de HTTPS
- Redis Cache debe permitir el acceso solo mediante SSL
- Se debe habilitar la transferencia segura a las cuentas de almacenamiento
- TLS debe actualizarse a la versión más reciente para las aplicaciones de API
- TLS debe actualizarse a la versión más reciente para las aplicaciones de función
- TLS debe actualizarse a la versión más reciente para las aplicaciones web
- Acceso a la aplicación web solo a través de HTTPS
4 Restringir accesos a la red no autorizados - Azure ofrece un conjunto de herramientas diseñadas para garantizar que los accesos a través de la red cumplen los estándares de seguridad más altos.
Use estas recomendaciones para administrar la configuración de protección de red adaptable de Defender for Cloud, asegurarse de que ha configurado Azure Private Link para todos los servicios PaaS pertinentes, habilitar Azure Firewall en las redes virtuales y mucho más.
- Las recomendaciones de protección de red adaptable deben aplicarse en las máquinas virtuales accesibles desde Internet
- En los grupos de seguridad de red asociados a la máquina virtual, todos los puertos de red deben estar restringidos
- App Configuration debe usar un vínculo privado.
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- Azure Cache for Redis debe residir en una red virtual.
- Los dominios de Azure Event Grid deben usar un vínculo privado.
- Los temas de Azure Event Grid deben usa un vínculo privado.
- Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
- Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado.
Azure SignalR Service debe usar un vínculo privado.
- Azure Spring Cloud debe usar la inserción de red.
-Las instancias de Container Registry no deben permitir el acceso de red sin restricciones.
- Las instancias de Container Registry deben usar vínculo privado.
- CORS no debe permitir que todos los recursos accedan a API Apps
- CORS no debe permitir que todos los recursos accedan a Function Apps
- CORS no debe permitir que todos los recursos accedan a aplicaciones web
- El firewall debe estar habilitado en Key Vault.
- Las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red
- El reenvío de IP en la máquina virtual debe estar deshabilitado
- El servidor de la API de Kubernetes debe configurarse con acceso restringido
- Se debe configurar un punto de conexión privado para Key Vault.
- El punto de conexión privado debe estar habilitado para servidores MariaDB.
- El punto de conexión privado debe estar habilitado para servidores MySQL.
- El punto de conexión privado debe estar habilitado para servidores PostgreSQL.
-El acceso a redes públicas debe estar deshabilitado para los servidores de MariaDB.
El acceso a las redes públicas debe estar deshabilitado para los servidores de MySQL
- El acceso a redes públicas debe estar deshabilitado para los servidores de PostgreSQL.
- Los servicios solo deben escuchar en los puertos permitidos
- La cuenta de almacenamiento debería utilizar una conexión de vínculo privado
- Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual.
- El uso de puertos y redes de hosts debe estar restringido
- Azure Firewall debe proteger las redes virtuales
- Las plantillas de VM Image Builder deben usar un vínculo privado.
3 Aplicar control de aplicaciones adaptable - El control de aplicaciones adaptable es una solución completa, automatizada e inteligente, que permite controlar qué aplicaciones se pueden ejecutar en las máquinas. También ayuda a proteger los equipos frente a malware. - Las máquinas deben tener habilitados controles de aplicaciones adaptables para definir aplicaciones seguras
- Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables
- El agente de Log Analytics debe instalarse en las máquinas basadas en Linux y habilitadas para Azure Arc
- El agente de Log Analytics debe instalarse en las máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas basadas en Windows y habilitadas para Azure Arc
2 Proteger las aplicaciones contra ataques DDoS: Entre las soluciones de seguridad de red avanzadas de Azure, se incluyen Azure DDoS Protection, Azure Web Application Firewall y el complemento Azure Policy para Kubernetes. Use estas recomendaciones para asegurarse de que sus aplicaciones estén protegidas con estas y otras herramientas. - Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- Debe estar habilitada la versión Estándar de Azure DDoS Protection
- Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
- Se deben aplicar los límites de CPU y memoria de los contenedores
- Web Application Firewall (WAF) debe estar habilitado para Application Gateway.
- Web Application Firewall [WAF] debe estar habilitado en el servicio Azure Front Door Service
2 Habilitar la protección de puntos de conexión: Defender for Cloud comprueba los puntos de conexión de cualquier organización en busca de soluciones activas de detección y respuesta ante amenazas, como Microsoft Defender para punto de conexión o cualquiera de las soluciones principales que se muestran en esta lista.
Si no se encuentra una solución de Detección y respuesta de puntos de conexión (EDR), puede usar estas recomendaciones para implementar Microsoft Defender para punto de conexión (incluido como parte de Microsoft Defender para servidores).
Otras recomendaciones de este control le ayudan a implementar el agente de Log Analytics y a configurar la supervisión de la integridad de los archivos.
- Deben resolverse los problemas de estado de Endpoint Protection en las máquinas
- Deben resolverse los problemas de estado de Endpoint Protection en las máquinas
- Deben resolverse los problemas de estado de Endpoint Protection en los conjuntos de escalado de máquinas virtuales
- Debe instalar Endpoint Protection en las máquinas
- Debe instalar Endpoint Protection en las máquinas
- Debe instalar Endpoint Protection en los conjuntos de escalado de máquinas virtuales
- Instale la solución Endpoint Protection en máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas basadas en Linux y habilitadas para Azure Arc
- El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas virtuales
- El agente de Log Analytics debe instalarse en las máquinas basadas en Windows y habilitadas para Azure Arc
1 Habilitar la auditoría y el registro - Los registros detallados son una parte fundamental de las investigaciones de incidentes y de muchas otras operaciones de solución de problemas. Las recomendaciones de este control se centran en asegurarse de que ha habilitado los registros de diagnóstico siempre que sea pertinente. - La auditoría de SQL Server debe estar habilitada
- Los registros de diagnóstico de App Service deben estar habilitados
- Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados
- Se deben habilitar los registros de diagnóstico en Azure Stream Analytics
- Se deben habilitar los registros de diagnóstico en las cuentas de Batch
- Los registros de diagnóstico de Data Lake Analytics deben estar habilitados
- Los registros de diagnóstico de Event Hubs deben estar habilitados
- Los registros de diagnóstico en Key Vault deben estar habilitados
- Los registros de diagnóstico de los servicios de Kubernetes deben estar habilitados
- Los registros de diagnóstico de Logic Apps deben estar habilitados
- Los registros de diagnóstico de los servicios Search deben estar habilitados
- Los registros de diagnóstico en Service Bus deben estar habilitados
- Los registros de diagnóstico de los conjuntos de escalado de máquinas virtuales deben estar habilitados
0 Habilitar las características de seguridad mejorada: use estas recomendaciones para habilitar cualquiera de los planes de características de seguridad mejorada. - Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada
- Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender
- La característica de supervisión de la integridad de los archivos debe habilitarse en las máquinas
- Los repositorios de GitHub deben tener habilitada la característica de examen de código
- Los repositorios de GitHub deben tener habilitada la característica de examen de Dependabot
- Los repositorios de GitHub deben tener habilitada la característica de examen de secretos
- Se debe habilitar Microsoft Defender para App Service
- Se debe habilitar Microsoft Defender para los servidores de Azure SQL Database
- Se debe habilitar Microsoft Defender para Containers
- Se debe habilitar Microsoft Defender para DNS
- Se debe habilitar Microsoft Defender para Key Vault
- Se debe habilitar Microsoft Defender para las bases de datos relacionales de código abierto
- Se debe habilitar Microsoft Defender para Resource Manager
- Se debe habilitar Microsoft Defender para servidores
- Se debe habilitar Microsoft Defender para servidores en las áreas de trabajo
- Se debe habilitar Microsoft Defender para SQL en las máquinas en las áreas de trabajo
- Se debe habilitar Microsoft Defender para servidores de SQL en las máquinas
- Se debe habilitar Microsoft Defender para Storage
0 Implementar procedimientos recomendados de seguridad - Este control no afecta a la puntuación segura. Por ese motivo, se trata de una colección de recomendaciones que es importante cumplir para garantizar la seguridad de la organización, pero que creemos que no deben formar parte de la forma de evaluar la puntuación general. - [Habilitar si es necesario] Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo
- [Habilitar si es necesario] Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK)
- [Habilitar si es necesario] Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente (CMK)
- [Habilitar si es necesario] Los registros de contenedor se deben cifrar con una clave administrada por el cliente (CMK)
- [Habilitar si es necesario] Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- [Habilitar si es necesario] Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- [Habilitar si es necesario] Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- [Habilitar si es necesario] Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- [Habilitar si es necesario] Las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado
- Es necesario designar un máximo de 3 propietarios para las suscripciones
- Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall
- Las cuentas que tengan permisos de lectura para los recursos de Azure deben habilitarse para usar MFA
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security de la instancia administrada de SQL
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server
- Los servicios de API Management deben usar una red virtual
- La retención de la auditoría en los servidores SQL Server debe establecerse en 90 días, como mínimo.
- El aprovisionamiento automático del agente de Log Analytics debe habilitarse en las suscripciones
- Las variables de cuenta de Automation deben cifrarse
- Azure Backup debería habilitarse en las máquinas virtuales.
- Las cuentas de Azure Cosmos DB deben tener reglas de firewall
- Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos
- Las cuentas de Cognitive Services deben restringir el acceso a la red
- Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos
- Los hosts de contenedor deben configurarse de forma segura
- La directiva del filtro de IP predeterminada debe ser Denegar
- Los registros de diagnóstico de IoT Hub deben estar habilitados
- La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.
- La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.
- Hay que asegurarse de que la aplicación de API tenga la opción de "certificados de cliente (certificados de cliente entrantes)" activada
- Las cuentas externas con permisos de lectura se deben quitar de las suscripciones
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB.
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL.
- La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL.
- Las cuentas de invitado que tengan permisos de lectura para los recursos de Azure deben quitarse
La extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales de Linux que sean compatibles
- La extensión de atestación de invitados debe estar instalada en las máquinas virtuales de Linux que sean compatibles
- La extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales de Windows que sean compatibles
- La extensión de atestación de invitados debe estar instalada en las máquinas virtuales de Windows que sean compatibles
- La extensión de configuración de invitado debe estar instalada en las máquinas
- Credenciales de autenticación idénticas
- Intervalo IP amplio de la regla del filtro de IP
- Es necesario actualizar Java a la versión más reciente para las aplicaciones de API
- Es necesario actualizar Java a la versión más reciente para las aplicaciones de funciones
- Es necesario actualizar Java a la versión más reciente de las aplicaciones web
- Las claves de Key Vault deben tener una fecha de expiración
- Los secretos de Key Vault deben tener una fecha de expiración
- Los almacenes de claves deben tener habilitada la protección contra operaciones de purga.
- Los almacenes de claves deben tener habilitada la eliminación temporal.
- Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS
- Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático
- Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN
- Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado
- Las máquinas virtuales de Linux deben exigir la validación de la firma del módulo de kernel
- Las máquinas virtuales de Linux solo deben usar componentes de arranque firmados y de confianza
- Las máquinas virtuales de Linux deben usar el arranque seguro
- Las máquinas deben reiniciarse para aplicar actualizaciones de configuración de seguridad
- Las máquinas deben tener cerrados los puertos que puedan exponer vectores de ataque.
- MFA debe estar habilitado en las cuentas con permisos de lectura de las suscripciones
- Se debe habilitar Microsoft Defender para SQL en los servidores de Azure SQL Server desprotegidos
- Microsoft Defender para SQL debe estar habilitado para las SQL Managed Instances no protegidas
- Network Watcher debe estar habilitado
- Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red
- Las identidades sobreaprovisionadas de las suscripciones deben investigarse para reducir el índice de autorización de permisos (PCI)
- Es necesario actualizar PHP a la versión más reciente para las aplicaciones de API
- Es necesario actualizar PHP a la versión más reciente para las aplicaciones web
- Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas
- Debe deshabilitarse el acceso a redes públicas en Azure SQL Database
- El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services
- Es necesario actualizar Python a la versión más reciente para las aplicaciones de API
- Es necesario actualizar Python a la versión más reciente para las aplicaciones de funciones
- Es necesario actualizar Python a la versión más reciente para las aplicaciones web
- Se debe desactivar la depuración remota para la aplicación de API
- Se debe desactivar la depuración remota para Function App
- Se debe desactivar la depuración remota para las aplicaciones web
- El arranque seguro debe estar habilitado en las máquinas virtuales de Windows admitidas
- Los servidores SQL deben tener un administrador aprovisionado de Azure Active Directory
- Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager
- Las subredes deben estar asociadas con un grupo de seguridad de red
- Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad.
- Debe haber más de un propietario asignado a las suscripciones
- El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses
- El estado de atestación de invitado de las máquinas virtuales debe ser correcto
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema
- Se deben migrar las máquinas virtuales a los nuevos recursos de Azure Resource Manager
- vTPM debe estar habilitado en las máquinas virtuales admitidas
- Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes.
- La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas
- Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros

Preguntas más frecuentes: Secure Score

Si solo se corrigen tres de las cuatro recomendaciones de un control de seguridad, ¿cambiará mi puntuación de seguridad?

No. No cambiará hasta que corrija todas las recomendaciones para un único recurso. Para obtener la puntuación máxima de un control, deberá corregir todas las recomendaciones de los recursos.

Si una recomendación no es aplicable a mí y la deshabilito en la directiva, ¿se cumplirá mi control de seguridad y se actualizará mi puntuación de seguridad?

Sí. Se recomienda deshabilitar las recomendaciones cuando no son aplicables a su entorno. Para obtener instrucciones sobre cómo deshabilitar una recomendación específica, consulte Deshabilitar las directivas de seguridad.

Si un control de seguridad ofrece cero puntos a mi puntuación de seguridad, ¿debería ignorarlo?

En algunos casos verá una puntuación máxima del control mayor que cero, pero el impacto es nulo. Cuando la puntuación incremental para corregir recursos es insignificante, se redondea a cero. Aun así, no ignore estas recomendaciones, ya que todavía pueden aportar mejoras de seguridad. La única excepción es el control de "procedimiento recomendado adicional". La corrección de estas recomendaciones no aumentará la puntuación, pero mejorará la seguridad en general.

Pasos siguientes

En este artículo se describe la puntuación de seguridad y los controles de seguridad incluidos.

Para obtener material relacionado, consulte los siguientes artículos: