Definiciones de directiva integradas de Azure Policy

Esta página es un índice de las definiciones de directiva integradas de Azure Policy.

El nombre de cada uno de los vínculos integrados a la definición de directiva en Azure Portal. Use el vínculo de la columna Origen para ver el origen en el repositorio de GitHub de Azure Policy. Los directivas integradas se agrupan por la propiedad category (categoría) de los metadatos. Para ir a una categoría específica, use el menú del lado derecho de la página. Como alternativa, puede usar Ctrl-F para utilizar la característica de búsqueda del explorador.

Azure API for FHIR

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure API for FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en Azure API for FHIR cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0
Azure API for FHIR debe usar un vínculo privado. Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
CORS no debe permitir que todos los dominios accedan a la API para FHIR. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a API for FHIR. Para proteger la instancia de API for FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0

API Management

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las API de API Management solo deben usar protocolos cifrados Las API deben usar protocolos cifrados. Las API no deben usar los protocolos sin cifrar, como HTTP o WS. Audit, Disabled, Deny 2.0.1
Las llamadas de API Management a las back-end de API deberían autenticarse Las llamadas de API Management a back-ends deberían usar algún tipo de autenticación, ya sea mediante certificados o credenciales. No se aplica a back-ends de Service Fabric. Audit, Disabled, Deny 1.0.1
Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres Las llamadas de API Management a back-ends de API deberían validar la huella digital del certificado y el nombre del certificado. Audit, Disabled, Deny 1.0.1
El punto de conexión directo API Management de API Management no debe estar habilitado Azure API Management proporciona una API de REST de administración directa, la cual puede omitir ciertos límites de la API basada en Azure Resource Manager y no debería habilitarse de forma predeterminada. Audit, Disabled, Deny 1.0.1
La versión mínima de API Management debería establecerse en 01-12-2019 o superior Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. Audit, Deny, Disabled 1.0.1
Los secretos de Valores con nombre de API Management deberían almacenarse en Azure KeyVault Los secretos a los que se hace referencia en Valores con nombre deben almacenar los valores en Azure KeyVault en lugar de en el almacén de valores con nombre. Audit, Disabled, Deny 1.0.1
El servicio API Management debe usar una SKU que admita redes virtuales Con las SKU compatibles de API Management, el servicio de implementación en una red virtual desbloquea las características avanzadas de seguridad y redes de API Management, lo que proporciona un mayor control sobre la configuración de seguridad de red. Más información en: https://aka.ms/apimvnet. Audit, Deny, Disabled 1.0.0
Los servicios de API Management deben deshabilitar el acceso a la red pública. Para mejorar la seguridad de los servicios de API Management, asegúrese de que los puntos de conexión no se exponen a la red pública de Internet. Algunos puntos de conexión públicos son expuestos por los servicios de API Management para admitir escenarios de usuario, por ejemplo, el acceso directo a la API de administración, la administración de la configuración mediante Git o la configuración de puertas de enlace autohospedadas. Si no se usa ninguna de esas características, se deben deshabilitar los puntos de conexión correspondientes. AuditIfNotExists, Disabled 1.0.0
Los servicios de API Management deben usar una red virtual La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. Audit, Disabled 1.0.1
Las suscripciones de API Management no deberían estar en el ámbito Todas las API. Las suscripciones de API Management deberían estar en el ámbito del producto o las API individuales en lugar de en todas las API, lo que podría exponer a todas las API de la instancia de API Management. Audit, Disabled, Deny 1.0.0
Configure los servicios de API Management para deshabilitar el acceso a la red pública. Para mejorar la seguridad de los servicios de API Management, deshabilite los puntos de conexión públicos. Algunos puntos de conexión públicos son expuestos por los servicios de API Management para admitir escenarios de usuario, por ejemplo, el acceso directo a la API de administración, la administración de la configuración mediante Git o la configuración de puertas de enlace autohospedadas. Si no se usa ninguna de esas características, se deben deshabilitar los puntos de conexión correspondientes. DeployIfNotExists, Disabled 1.0.0

App Configuration

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
App Configuration debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration debe usar una clave administrada por el cliente El uso de claves administradas por el cliente proporciona una mejor protección de los datos al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. Audit, Deny, Disabled 1.1.0
App Configuration debe usar una SKU que admita Private Link Cuando se usa una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Los almacenes de App Configuration deben tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad, ya que garantiza que los almacenes de App Configuration requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Deny, Disabled 1.0.0
Configurar los almacenes de App Configuration para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación local para que los almacenes de App Configuration requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. Modificar, Deshabilitado 1.0.0
Configurar App Configuration para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en App Configuration de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. Modificar, Deshabilitado 1.0.0
Configurar zonas DNS privadas para puntos de conexión privados conectados a App Configuration Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolver las instancias de configuración de aplicaciones. Más información en: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0
Configurar puntos de conexión privados para App Configuration Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de App Configuration, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0

Plataforma de aplicaciones

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: auditoría de las instancias de Azure Spring Cloud en las que el seguimiento distribuido no está habilitado Las herramientas de seguimiento distribuido de Azure Spring Cloud permiten depurar y supervisar las complejas interconexiones entre los microservicios de una aplicación. Las herramientas de seguimiento distribuido deben estar habilitadas y en un estado correcto. Audit, Disabled 1.0.0-preview
Azure Spring Cloud debe usar la inserción de red Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. Audit, Disabled, Deny 1.1.0

App Service

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP La deshabilitación de los métodos de autenticación local aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.1
Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM La deshabilitación de los métodos de autenticación local aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.2
Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 1.0.0
Las aplicaciones de App Service se deben insertar en una red virtual Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 2.0.0
Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de App Service deben tener activados los "Certificados de cliente (certificados de cliente entrantes)" Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Audit, Disabled 2.0.0
Las aplicaciones de App Service deben tener activada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP La deshabilitación de los métodos de autenticación local aumenta la seguridad, ya que garantiza que App Service exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.1
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM La deshabilitación de los métodos de autenticación local aumenta la seguridad, ya que garantiza que App Service exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.1
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service deben tener activados los registros de recursos Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 3.0.0
Las aplicaciones de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deben usar una SKU que admita vínculo privado Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. Audit, Deny, Disabled 3.0.0
Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 2.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deben utilizar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. AuditIfNotExists, Disabled 1.0.1
Las aplicaciones de App Service deben usar la última versión de TLS Actualice a la versión más reciente de TLS. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service que utilizan Java deben utilizar la última "versión de Java" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service que utilizan PHP deben utilizar la última "versión de PHP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service que utilizan Python deben utilizar la última "versión de Python" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. AuditIfNotExists, Disabled 4.0.0
No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet Para asegurarse de que las aplicaciones implementadas en App Service Environment no son accesibles desde la red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, es necesario implementar App Service Environment con un equilibrador de carga interno. Audit, Deny, Disabled 2.0.0
App Service Environment se debe configurar con los conjuntos de cifrado TLS más seguros Los dos conjuntos de cifrado más débiles y más fuertes necesarios para que App Service Environment funcione correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Disabled 1.0.0
App Service Environment se debe aprovisionar con las versiones más recientes Solo se permite el aprovisionamiento de la versión 2 o 3 de App Service Environment. En las versiones anteriores de App Service Environment se necesita la administración manual de los recursos de Azure y tienen mayores limitaciones de escalado. Audit, Deny, Disabled 1.0.0
App Service Environment debe tener habilitado el cifrado interno Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
App Service Environment deben tener TLS 1.0 y 1.1 deshabilitados TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una instancia de App Service Environment. Audit, Deny, Disabled 2.0.1
App Services debe deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. AuditIfNotExists, Disabled 1.0.0
Configurar las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP Deshabilite los métodos de autenticación local en las implementaciones de FTP para que las ranuras de App Services exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.1
Configure las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM Deshabilite los métodos de autenticación local en los sitios de SCM, con el fin de que las ranuras de App Services exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.1
Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 1.0.0
Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP Deshabilite los métodos de autenticación local en las implementaciones de FTP para que App Services exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.1
Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM Deshabilite los métodos de autenticación local en los sitios de SCM para que App Services exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.1
Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 1.0.0
Configuración de aplicaciones de App Service para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula una red virtual a una instancia de App Service. Más información en: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Disabled 1.0.1
Configuración de App Services para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Audit, Disabled 2.0.0
Las aplicaciones de funciones deben tener habilitada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled 3.0.0
Las aplicaciones de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 2.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Actualice a la versión más reciente de TLS. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones que usan Java deben usar la "versión más reciente" de Java A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones que usan Python deben usar la "versión más reciente" de Python A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Esta directiva solo se aplica a las aplicaciones de Linux, ya que Python no es compatible con las aplicaciones de Windows. AuditIfNotExists, Disabled 4.0.0

Atestación

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los proveedores de Azure Attestation deben deshabilitar el acceso desde la red pública Para reforzar la seguridad del servicio Azure Attestation, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso desde la red pública, tal y como se describe en aka.ms/azureattestation. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
Los proveedores de Azure Attestation deben usar puntos de conexión privados Los puntos de conexión privados proporcionan una manera de conectar proveedores de Azure Attestation a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Al impedir el acceso público, los puntos de conexión privados ayudan a proteger contra el acceso anónimo no deseado. AuditIfNotExists, Disabled 1.0.0

Automanage

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las máquinas virtuales para incorporarlas a Azure Automanage Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 2.2.0
Configuración de las máquinas virtuales que se incorporarán a Azure Automanage con el perfil de configuración personalizado Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 1.2.0
La revisión en caliente debe estar habilitada para las máquinas virtuales de Windows Server Azure Edition Minimice los reinicios e instale las actualizaciones rápidamente con la ayuda de la revisión en caliente. Más información en https://docs.microsoft.com/azure/automanage/automanage-hotpatch. Audit, Deny, Disabled 1.0.0

Automatización

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Las cuentas de Automation deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, Disabled 1.0.0
La cuenta de Azure Automation debe tener el método de autenticación local deshabilitado Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que las cuentas de Azure Automation requiera exclusivamente identidades de Azure Active Directory para la autenticación. Audit, Deny, Disabled 1.0.0
Las cuentas de Azure Automation deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de sus cuentas de Azure Automation. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en [https://aka.ms/automation-cmk](../../../../articles/automation/automation-secure-asset-encryption.md#:~:text=Los recursos seguros de Azure Automation incluyen credenciales, certificados, conexiones, uso de claves administradas por Microsoft). Audit, Deny, Disabled 1.0.0
Configurar la cuenta de Azure Automation para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que las cuentas de Azure Automation requieran exclusivamente identidades de Azure Active Directory para la autenticación. Modificar, Deshabilitado 1.0.0
Configurar cuentas de Azure Automation para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la cuenta de Azure Automation de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Azure Automation con zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Es necesario que la zona DNS privada esté configurada correctamente para conectarse a la cuenta de Azure Automation a través de la Azure Private Link. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar conexiones de punto de conexión privado en cuentas de Azure Automation Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Azure Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Disabled 1.0.0
Las conexiones de punto de conexión privado en cuentas de Automation deben estar habilitadas Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dominios administrados de Azure Active Directory Domain Services solo deben usar el modo TLS 1.2. Use solo el modo TLS 1.2 para los dominios administrados. De manera predeterminada, Azure AD Domain Services permite el uso de cifrados tales como NTLM v1 y TLS v1. Aunque estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, se consideran poco seguros y se pueden deshabilitar si no se necesitan. Cuando solo se habilita el modo TLS 1.2, cualquier cliente que realice una solicitud que no use TLS 1.2 producirá un error. Obtenga más información en https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Deny, Disabled 1.1.0
Azure Active Directory debe usar Private Link para acceder a los servicios de Azure Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure AD, se puede reducir el riesgo de pérdida de datos. Más información en: https://aka.ms/privateLinkforAzureADDocs. Solo se debe usarse desde redes virtuales aisladas a servicios de Azure, sin acceso a Internet ni a otros servicios (M365). AuditIfNotExists, Disabled 1.0.0
Configurar Private Link para que Azure AD use zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver en Azure AD. Más información en: https://aka.ms/privateLinkforAzureADDocs. DeployIfNotExists, Disabled 1.0.0
Configuración de Private Link para Azure AD con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Azure AD, se puede reducir el riesgo de pérdida de datos. Más información en: https://aka.ms/privateLinkforAzureADDocs. Solo se debe usarse desde redes virtuales aisladas a servicios de Azure, sin acceso a Internet ni a otros servicios (M365). DeployIfNotExists, Disabled 1.0.0

Azure Arc

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los ámbitos de Private Link para Azure Arc deben configurarse con un punto de conexión privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Disabled 1.0.0
Los ámbitos de Private Link para Azure Arc deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que los recursos de Azure Arc no se pueden conectar a través de la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Azure Arc. Más información en: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Los servidores habilitados para Azure Arc deben configurarse con un ámbito de Private Link para Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Configurar los ámbitos de Private Link de Azure Arc para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el ámbito de Private Link para Azure Arc a fin de que los recursos de Azure Arc asociados no se puedan conectar a servicios de Azure Arc a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0
Configuración de ámbitos de Private Link de Azure Arc para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en ámbitos de Private Link de Azure Arc. Más información en: https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 1.0.0
Configurar los ámbitos de Private Link de Azure Arc con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 1.0.0
Configuración de servidores habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0

Explorador de datos de Azure

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. Audit, Deny, Disabled 1.0.0
El cifrado de disco debe estar habilitado en Azure Data Explorer La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Audit, Deny, Disabled 2.0.0
El cifrado doble debe estar habilitado en Azure Data Explorer La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. Audit, Deny, Disabled 2.0.0
La inserción de red virtual debe estar habilitada para Azure Data Explorer Proteja el perímetro de la red con la inserción de red virtual, que le permite aplicar reglas de grupo de seguridad de red, conectarse de forma local y proteger los orígenes de la conexión de datos con puntos de conexión de servicio. Audit, Deny, Disabled 1.0.0

Azure Databricks

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Databricks Workspaces debería deshabilitar el acceso a la red pública Las áreas de trabajo de Azure Databricks deben tener deshabilitado el acceso a la red pública. Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject Audit, Deny, Disabled 1.0.0

Azure Edge Hardware Center

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dispositivos de Azure Edge Hardware Center deben tener habilitada la compatibilidad con el cifrado doble. Asegúrese de que los dispositivos solicitados desde Azure Edge Hardware Center tienen habilitada la compatibilidad con el cifrado doble para proteger los datos en reposo en el dispositivo. Esta opción agrega una segunda capa de cifrado de datos. Audit, Deny, Disabled 2.0.0

Azure Load Testing

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El recurso de Azure Load Testing debería usar claves administradas por el cliente para cifrar datos en reposo Utiliza claves administradas por el cliente (CMK) para administrar el cifrado en reposo del recurso Azure Load Testing. De forma predeterminada, el cifrado se realiza mediante claves administradas por el servicio, las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad del usuario. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Deny, Disabled 1.0.0

Azure Purview

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Purview deben usar un vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las cuentas de Azure Purview en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/purview-private-link. Audit, Disabled 1.0.0

Azure Stack Edge

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dispositivos Azure Stack Edge deben usar cifrado doble Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. audit, Audit, deny, Deny, disabled, Disabled 1.1.0

Backup

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de la copia de seguridad de cuentas de almacenamiento de blobs con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de la copia de seguridad de blobs para todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén de copia de seguridad de la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de almacenes de Recovery Services para usar zonas DNS privadas para las copias de seguridad Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el almacén de Recovery Services. Más información en: https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Disabled 1.0.1-preview
[Versión preliminar]: [Versión preliminar]: configuración de almacenes de Recovery Services para usar zonas puntos de conexión privadas para la copia de seguridad Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a almacenes de Recovery Services, se puede reducir el riesgo de pérdida de datos. Tenga en cuenta que los almacenes deben cumplir determinados requisitos previos para poder optar a la configuración del punto de conexión privado. Más información en: https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Disabled 1.0.0-preview
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Implementar la Configuración de diagnóstico para el almacén de Recovery Services para el área de trabajo de Log Analytics con categorías específicas de recursos. Permite implementar la Configuración de diagnóstico para el almacén de Recovery Services a fin de transmitir en secuencias al área de trabajo de Log Analytics para categorías específicas de recursos. Si alguna de las categorías específicas de recursos no está habilitada, se crea una nueva opción de configuración de diagnóstico. deployIfNotExists 1.0.2

Batch

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La cuenta de Azure Batch debe usar claves administradas por el cliente para cifrar los datos Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de la cuenta de Batch. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Los grupos de Azure Batch deben tener habilitado el cifrado de disco Habilitar el cifrado de disco de Azure Batch garantiza que los datos siempre se cifran en reposo en el nodo de ejecución de Azure Batch. Obtenga más información acerca del cifrado de disco en Batch en https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Disabled, Deny 1.0.0
Las cuentas de Batch deben tener deshabilitados los métodos de autenticación local La deshabilitación de métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. Audit, Deny, Disabled 1.0.0
Configuración de cuentas de Batch para deshabilitar la autenticación local Deshabilite los métodos de autenticación de ubicación para que sus cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Batch para desactivar el acceso a la red pública Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Batch con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de Batch, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar las zonas DNS privadas de los puntos de conexión privados que se conectan a las cuentas de Batch Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Para obtener más información sobre los puntos de conexión y las zonas DNS privados en Batch, vea https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Las reglas de alerta de métricas deben configurarse en las cuentas de Batch Permite auditar la configuración de reglas de alertas de métricas en una cuenta de Batch para habilitar la métrica requerida. AuditIfNotExists, Disabled 1.0.0
Las conexiones de punto de conexión privado en cuentas de Batch deben estar habilitadas Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Más información sobre los puntos de conexión privados en Batch en https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Disabled 1.0.0
El acceso a redes públicas debe estar deshabilitado para las cuentas de Batch Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, Disabled 1.0.0
Los registros de recursos de las cuentas de Batch deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Servicio de bots

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El punto de conexión de Bot Service debe ser un URI de HTTPS válido Los datos se pueden alterar durante la transmisión. Hay protocolos que proporcionan cifrado para solucionar problemas de uso indebido y manipulación. Para asegurarse de que los bots se comunican solo por canales cifrados, establezca el punto de conexión en un URI de HTTPS válido. Esto garantiza que se usa el protocolo HTTPS para cifrar los datos en tránsito; además, suele ser un requisito de cumplimiento de los estándares normativos o del sector. Visite: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 1.1.0
Bot Service se debe cifrar con una clave administrada por el cliente Azure Bot Service cifra automáticamente el recurso para proteger sus datos y satisfacer los compromisos de cumplimiento y seguridad de la organización. De forma predeterminada, se usan claves de cifrado administradas por Microsoft. Para una mayor flexibilidad en la administración de claves o el control del acceso a su suscripción, seleccione claves administradas por el cliente, también conocidas como Bring your own key (BYOK). Más información acerca del cifrado de Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Bot Service debe tener el modo aislado habilitado Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 2.1.0
Bot Service debe tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que un bot use exclusivamente AAD para la autenticación. Audit, Deny, Disabled 1.0.0
Bot Service debe tener deshabilitado el acceso a la red pública Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. Audit, Deny, Disabled 1.0.0
Los recursos de BotService deben usar private link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al recurso de BotService, se reduce el riesgo de pérdida de datos. Audit, Disabled 1.0.0
Configuración de los recursos de BotService para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se vincula una zona DNS privada a la red virtual para resolver los recursos relacionados con BotService. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar recursos de BotService con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al recurso de BotService, puede reducir el riesgo de pérdida de datos. DeployIfNotExists, Disabled 1.0.0

Cache

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Cache for Redis debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que garantiza que Azure Cache for Redis no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de Azure Cache for Redis mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, Disabled 1.0.0
Azure Cache for Redis debe usar Private Link Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Configurar Azure Cache for Redis para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Azure Cache for Redis de modo que no sea accesible a través de la red pública de Internet. Esto ayuda a proteger la memoria caché frente a los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.0
Configurar Azure Cache for Redis para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se puede vincular una zona DNS privada a la red virtual para que se resuelva en Azure Cache for Redis. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Cache for Redis con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de Azure Cache for Redis, se puede reducir el riesgo de pérdida de datos. Más información en: https://aka.ms/redis/privateendpoint. DeployIfNotExists, Disabled 1.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0

CDN

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los perfiles de Azure Front Door deben usar el nivel Premium que admite reglas de WAF administradas y Private Link Azure Front Door Premium admite reglas de WAF administradas de Azure y vínculo privado a orígenes de Azure admitidos. Audit, Deny, Disabled 1.0.0
Azure Front Door Estándar y Premium deben ejecutar la versión mínima de TLS 1.2 La configuración de la versión mínima de TLS a 1.2 mejora la seguridad asegurando el acceso a sus dominios personalizados desde clientes que utilizan TLS 1.2 o más reciente. No se recomienda usar versiones de TLS inferiores a 1.2, ya que son débiles y no admiten algoritmos criptográficos modernos. Audit, Deny, Disabled 1.0.0
Protección de la conectividad privada entre Azure Front Door Premium y de Azure Storage Blob o Azure App Service Private Link garantiza la conectividad privada entre AFD Premium y Azure Storage Blob o Azure App Service a través de la red troncal de Azure, sin que Azure Storage Blob ni Azure App Service estén expuestos públicamente a Internet. Audit, Disabled 1.0.0

Cognitive Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Cognitive Services deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de Cognitive Services no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Deny, Disabled 3.0.0
Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.0.0
Las cuentas de Cognitive Services deben tener deshabilitados los métodos de autenticación local La deshabilitación de métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Las cuentas de Cognitive Services deben restringir el acceso a la red Se debe restringir el acceso de red a las cuentas de Cognitive Services. Configure reglas de red, de forma que solo las aplicaciones de redes permitidas pueden acceder a la cuenta de Cognitive Services. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 3.0.0
Las cuentas de Cognitive Services deben usar una identidad administrada La asignación de una identidad administrada a su cuenta de Cognitive Services ayuda a garantizar una autenticación segura. Esta cuenta de Cognitive Services usa esta identidad para comunicarse con otros servicios de Azure, como Azure Key Vault, de forma segura sin tener que administrar ninguna credencial. Audit, Deny, Disabled 1.0.0
Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente Use el almacenamiento de propiedad del cliente para controlar los datos almacenados en reposo en Cognitive Services. Para más información sobre el almacenamiento de propiedad del cliente, visite https://aka.ms/cogsvc-cmk. Audit, Deny, Disabled 2.0.0
Cognitive Services debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Configurar las cuentas de Cognitive Services para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación local para que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Cognitive Services para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Cognitive Services de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. Deshabilitado, Modificar 3.0.0
Configurar las cuentas de Cognitive Services para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Disabled 1.0.0
Configurar las cuentas de Cognitive Services con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Disabled 3.0.0

Proceso

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
SKU de tamaño de máquina virtual permitidas Esta directiva permite especificar un conjunto de SKU de tamaño de máquina virtual que la organización puede implementar. Denegar 1.0.1
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
Configuración de la recuperación ante desastres en máquinas virtuales habilitando la replicación mediante Azure Site Recovery Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.0.0
Configurar los recursos de acceso al disco para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el disco administrado. Más información en: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Configurar recursos de acceso al disco con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignación puntos de conexión privados a los recursos de acceso al disco, podrá reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Configurar discos administrados para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de disco administrado para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/disksprivatelinksdoc. Modificar, Deshabilitado 2.0.0
Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server Esta directiva implementa una extensión de Microsoft IaaSAntimalware con una configuración predeterminada cuando una VM no está configurada con la extensión de antimalware. deployIfNotExists 1.1.0
Los recursos de acceso al disco deben usar un vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Los discos administrados deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que un disco administrado no esté expuesto en Internet de acceso público. La creación de puntos de conexión privados permite limitar el nivel de exposición de los discos administrados. Más información en: https://aka.ms/disksprivatelinksdoc. Audit, Disabled 2.0.0
Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. AuditIfNotExists, Disabled 1.1.0
Solo deben instalarse las extensiones de máquina virtual aprobadas Esta directiva rige las extensiones de máquina virtual que no están aprobadas. Audit, Deny, Disabled 1.0.0
El SO y los discos de datos deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Exigir la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets Esta directiva requiere que se habilite la aplicación automática de revisiones de imagen de sistema operativo en Virtual Machine Scale Sets para que se apliquen mensualmente las revisiones de seguridad más recientes con el fin de que las máquinas virtuales estén siempre protegidas. deny 1.0.0
Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados. Se recomienda habilitar los registros para que ese seguimiento de actividad se pueda volver a crear cuando se necesiten investigaciones en caso de incidente o riesgo. AuditIfNotExists, Disabled 2.1.0
Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Aplicaciones de contenedor

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La autenticación debe estar habilitada en Container Apps La autenticación de Container Apps es una característica que puede impedir que las solicitudes HTTP anónimas lleguen a una instancia de Container Apps o autenticar aquellas que tienen tokens antes de que lleguen a dicha instancia. AuditIfNotExists, Disabled 1.0.1
Los entornos de una instancia de Container Apps deben usar la inserción de red Los entornos de Container Apps deben usar la inserción de red virtual para: 1. Aislar Container Apps de la red pública de Internet 2. Habilitar la integración de red con recursos locales o en otras redes virtuales de Azure 3. Lograr un control más granular sobre el tráfico de red que fluye hacia y desde el entorno. Audit, Disabled, Deny 1.0.2
La instancia de Container Apps se debe configurar con el montaje del volumen Aplique el uso de montajes de volúmenes para Container Apps a fin de garantizar la disponibilidad de la capacidad de almacenamiento persistente. Audit, Deny, Disabled 1.0.1
El entorno de Container Apps debe deshabilitar el acceso desde la red pública Deshabilite el acceso desde la red pública a fin de mejorar la seguridad mediante la exposición del entorno de Container Apps a través de un equilibrador de carga interno. Esto quita la necesidad de una IP pública y evita el acceso a través de Internet a todas las instancias de Container Apps dentro del entorno. Audit, Deny, Disabled 1.0.1
Container Apps debe deshabilitar el acceso desde la red externa Deshabilite el acceso desde la red externa a Container Apps mediante la aplicación de la entrada solo interna. Esto garantizará que la comunicación entrante de Container Apps se limite solo a los autores de llamadas dentro del entorno de Container Apps. Audit, Deny, Disabled 1.0.1
Container Apps solo debería ser accesible a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Al deshabilitar "allowInsecure", se producirá el redireccionamiento automático de las solicitudes de conexiones HTTP a HTTPS para las instancias de Container Apps. Audit, Deny, Disabled 1.0.1
Container Apps debe tener habilitada la identidad administrada La aplicación de la identidad administrada garantiza que Container Apps pueda autenticarse de manera segura en cualquier recurso que admita la autenticación de Azure AD. Audit, Deny, Disabled 1.0.1

Instancia de contenedor

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El grupo de contenedores de la instancia de Azure Container Instances se debe implementar en una red virtual Proteja la comunicación entre los contenedores con redes virtuales de Azure. Cuando se especifica una red virtual, los recursos de la red virtual pueden comunicarse entre sí de forma segura y privada. Audit, Disabled, Deny 2.0.0
El grupo de contenedores de la instancia de Azure Container Instances debe usar una clave administrada por el cliente para el cifrado Proteja los contenedores con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Disabled, Deny 1.0.0

Container Registry

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configure los registros de contenedor para deshabilitar la autenticación anónima. Deshabilite la extracción anónima del registro para que el usuario no autenticado no pueda acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar la autenticación de token de audiencia de ARM. Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar la cuenta de administrador local. Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.1
Configurar las instancias de Container Registry para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Container Registry de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar el token de acceso de ámbito de repositorio. Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configuración de las instancias de Container Registry para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en la instancia de Container Registry. Más información en https://aka.ms/privatednszone y https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Configurar las instancias de Container Registry con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos del registro de contenedor prémium, puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/privateendpoints y https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Los registros de contenedor deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Los registros de contenedor deben tener deshabilitada la autenticación anónima. Deshabilite la extracción anónima del registro para que los usuarios no autenticados no puedan acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deberían tener deshabilitada la autenticación de token de audiencia de ARM. Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deben tener las exportaciones deshabilitadas Deshabilitar las exportaciones mejora la seguridad al garantizar que se accede a los datos de un registro únicamente a través del plano de datos ("docker pull"). Los datos no se pueden mover fuera del registro a través de "acr import" o a través de "acr transfer". Para deshabilitar las exportaciones, se debe deshabilitar el acceso a la red pública. Más información en: https://aka.ms/acr/export-policy. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deben tener deshabilitada la cuenta de administrador local. Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.1
Los registros de contenedor deben tener deshabilitado el token de acceso de ámbito de repositorio. Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Las instancias de Container Registry deben tener SKU que admitan vínculos privados Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, se reducen los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0
Las instancias de Container Registry no deben permitir el acceso de red sin restricciones De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Las instancias de Container Registry deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
El acceso a la red pública debe estar deshabilitado en las instancias de Container Registry Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los registros de contenedor no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos del registro de contenedor. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0

Cosmos DB

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. Audit, Deny, Disabled 2.0.0
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Ubicaciones permitidas de Azure Cosmos DB Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar recursos de Azure Cosmos DB. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. [parameters('policyEffect')] 1.1.0
Se debe deshabilitar el acceso de escritura de metadatos basado en la clave de Azure Cosmos DB Esta directiva permite asegurarse de que se deshabilita el acceso de escritura de metadatos basado en la clave en todas las cuentas de Azure Cosmos DB. append 1.0.0
Azure Cosmos DB debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, Disabled 1.0.0
El rendimiento de Azure Cosmos DB debe ser limitado Esta directiva le permite restringir el rendimiento máximo que puede especificar la organización al crear contenedores y bases de datos de Azure Cosmos DB mediante el proveedor de recursos. Bloquea la creación de recursos de escalabilidad automática. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 1.1.0
Configuración de cuentas de base de datos Cosmos DB para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de CosmosDB para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de CosmosDB de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de CosmosDB para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver la cuenta de CosmosDB. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 2.0.0
Configurar las cuentas de CosmosDB con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, Disabled 1.0.0
Las cuentas de CosmosDB deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Implementar Advanced Threat Protection para cuentas de Cosmos DB Esta directiva habilita Advanced Threat Protection en las cuentas de Cosmos DB. DeployIfNotExists, Disabled 1.0.0

Proveedor personalizado

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de asociaciones para proveedores personalizados Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con el proveedor personalizado especificado. Esta implementación de directiva no admite los tipos de recursos anidados. deployIfNotExists 1.0.0

Data Box

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. Audit, Deny, Disabled 1.0.0
Los trabajos de Azure Data Box deben usar una clave administrada por el cliente para cifrar la contraseña de desbloqueo del dispositivo Use una clave administrada por el cliente para controlar el cifrado de la contraseña de desbloqueo del dispositivo para Azure Data Box. Las claves administradas por el cliente también ayudan a administrar el acceso a la contraseña de desbloqueo del dispositivo por parte del servicio Data Box para preparar el dispositivo y copiar los datos de forma automatizada. Los datos del propio dispositivo ya están cifrados en reposo con el Estándar de cifrado avanzado cifrado de 256 bits y la contraseña de desbloqueo del dispositivo se cifra de forma predeterminada con una clave administrada por Microsoft. Audit, Deny, Disabled 1.0.0

Data Factory

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: El entorno de ejecución de integración de Azure Data Factory debe tener un límite para el número de núcleos Para administrar los recursos y los costos, limite el número de núcleos de un entorno de ejecución de integración. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el tipo de recurso del servicio vinculado de Azure Data Factory debe estar en la lista de permitidos Defina la lista de permitidos de los tipos de servicios vinculados de Azure Data Factory. Restringir los tipos de recursos permitidos permite controlar el límite del movimiento de datos. Por ejemplo, restrinja un ámbito para que solo permita el almacenamiento de blobs con Data Lake Storage Gen1 y Gen2 análisis o un ámbito para permitir solo el acceso de SQL y Kusto para las consultas en tiempo real. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los servicios vinculados de Azure Data Factory deben usar Key Vault para almacenar secretos Para asegurarse de que los secretos (como las cadenas de conexión) se administran de forma segura, pida a los usuarios que proporcionen los secretos con una instancia de Azure Key Vault en lugar de especificarlos en los servicios vinculados. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los servicios vinculados de Azure Data Factory deben usar la autenticación de identidades administradas asignadas por el sistema, si se admite El uso de la identidad administrada asignada por el sistema al comunicarse con almacenes de datos mediante los servicios vinculados evita el uso de credenciales menos seguras, como contraseñas o cadenas de conexión. Audit, Deny, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: Azure Data Factory debe usar un repositorio GIT para el control de código fuente Habilite el control de código fuente en las factorías de datos para obtener funcionalidades como el seguimiento de cambios, la colaboración, la integración continua y la implementación. Audit, Deny, Disabled 1.0.0-preview
Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
Azure Data Factory debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Configurar factorías de datos para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la instancia de Data Factory de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modificar, Deshabilitado 1.0.0
Configurar las zonas DNS privadas para los puntos de conexión privados que se conectan a Azure Data Factory Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de los puntos de conexión privados permiten la comunicación segura al habilitar la conectividad privada con la instancia de Azure Data Factory sin necesidad de direcciones IP públicas en el origen o el destino. Para más información sobre los puntos de conexión privados y las zonas DNS en Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Configurar los puntos de conexión privados para factorías de datos Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a la instancia de Azure Data Factory, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Debe deshabilitarse el acceso a redes públicas en Azure Data Factory. Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Factory desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
Los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory deben unirse a una red virtual La implementación de Azure Virtual Network proporciona seguridad y aislamiento mejorados para los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Audit, Deny, Disabled 2.0.0

Data Lake

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Requerir cifrado en cuentas de Data Lake Store. Esta directiva garantiza que el cifrado está habilitado en todas las cuentas de Data Lake Store. deny 1.0.0
Los registros de recursos de Azure Data Lake Store deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Data Lake Analytics deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Event Grid

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dominios de Azure Event Grid deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Los dominios de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los dominios de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Los espacios de nombres de partner de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Configurar dominios de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Configurar espacios de nombres de partner de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Configurar temas de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Implementación: configurar los dominios de Azure Event Grid para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Implementación: configurar los dominios de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar los temas de Azure Event Grid para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Implementación: configurar los temas de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Modificación: configurar los dominios de Azure Event Grid para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0
Modificación: configurar los temas de Azure Event Grid para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0

Centro de eventos

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres del centro de eventos Los clientes del Centro de eventos no deben usar una directiva de acceso de nivel de espacio de nombres que proporciona acceso a todas las colas y temas de un espacio de nombres. Para alinearse con el modelo de seguridad con privilegios mínimos, debe crear directivas de acceso en las entidades para que las colas y los temas proporcionen acceso solo a la entidad específica. Audit, Deny, Disabled 1.0.1
Las reglas de autorización de la instancia del centro de eventos deben definirse. Permite auditar la existencia de reglas de autorización en entidades de Event Hub para conceder acceso con privilegios mínimos. AuditIfNotExists, Disabled 1.0.0
Los espacios de nombres de Azure Event Hub deben tener los métodos de autenticación local deshabilitados La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. Audit, Deny, Disabled 1.0.0
Configuración de los espacios de nombres de Azure Event Hub para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. Modificar, Deshabilitado 1.0.0
Configurar los espacios de nombres del centro de eventos para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver los espacios de nombres del centro de eventos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Configurar los espacios de nombres del centro de eventos con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Los espacios de nombres del centro de eventos deben tener habilitado el cifrado doble La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. Audit, Deny, Disabled 1.0.0
Los espacios de nombres deben usar una clave administrada por el cliente para el cifrado Azure Event Hubs admite la opción de cifrado de datos en reposo con claves administradas por Microsoft (predeterminada) o claves administradas por el cliente. La selección del cifrado de datos mediante claves administradas por el cliente le permite asignar, rotar, deshabilitar y revocar el acceso a las claves que el centro de eventos usará para cifrar los datos en el espacio de nombres. Tenga en cuenta que el centro de eventos solo admite el cifrado con claves administradas por el cliente para los espacios de nombres en clústeres dedicados. Audit, Disabled 1.0.0
Los espacios de nombres del centro de eventos deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Los registros de recursos de la instancia de Event Hubs deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Fluid Relay

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Fluid Relay debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo del servidor Fluid Relay. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad, con control total y responsabilidad, incluida la rotación y la administración. Obtenga más información en https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Disabled 1.0.0

General

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ubicaciones permitidas Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, y recursos que usan la región "global". deny 1.0.0
Ubicaciones permitidas para grupos de recursos Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. deny 1.0.0
Tipos de recursos permitidos Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". deny 1.0.0
La ubicación del recurso de auditoría coincide con la del grupo de recursos Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. auditoría 2.0.0
Auditar el uso de reglas de RBAC personalizadas Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.0
Tipos de recursos no permitidos Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. Audit, Deny, Disabled 2.0.0

Configuración de invitado

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales Esta directiva agrega una identidad administrada asignada por el usuario a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado. Una identidad administrada asignada por el usuario es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de Azure para hosts de Docker Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de Azure para los hosts de Docker. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: las máquinas Windows deben cumplir los requisitos de cumplimiento STIG para el proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de la STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. AuditIfNotExists, Disabled 4.0.0
Auditar las máquinas Linux que tengan cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. AuditIfNotExists, Disabled 4.0.0
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar la conectividad de red de máquinas Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en las que la configuración de DSC no sea compatible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. auditIfNotExists 3.0.0
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows permiten volver a usar las 24 contraseñas anteriores. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no estén unidas al dominio especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen una contraseña cuya duración máxima sea 70 días. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen una contraseña cuya duración mínima sea 1 día. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. AuditIfNotExists, Disabled 2.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Get-ExecutionPolicy de Windows PowerShell devuelve un valor distinto al seleccionado en el parámetro de directiva. AuditIfNotExists, Disabled 3.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no restringen la longitud mínima de la contraseña a 14 caracteres. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las VM Windows con un reinicio pendiente Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. auditIfNotExists 2.0.0
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.0.0
Configurar protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en servidores Windows Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en un servidor de Windows DeployIfNotExists, Disabled 1.0.0
Configure la zona horaria en las máquinas de Windows. Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. deployIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 3.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Las máquinas Linux deben tener la extensión de Log Analytics instalada en Azure Arc Las máquinas no son compatibles si la extensión de Log Analytics no está instalada en el servidor Linux habilitado para Azure Arc. AuditIfNotExists, Disabled 1.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.0.0
Las máquinas Linux solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.0.0
Los puntos de conexión privados para las asignaciones de configuración de invitado deben habilitarse. Las conexiones de punto de conexión privado aplican una comunicación segura, ya que habilitan la conectividad privada con la configuración de invitado para las máquinas virtuales. Las máquinas virtuales serán no compatibles a menos que tengan la etiqueta "EnablePrivateNetworkGC". Esta etiqueta exige una comunicación segura mediante conectividad privada con la configuración de invitado para Virtual Machines. La conectividad privada limita el acceso al tráfico procedente solo de redes conocidas e impide el acceso del resto de direcciones IP, incluidas las de Azure. Audit, Deny, Disabled 1.0.0
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben configurar Windows Defender para que actualice las firmas de protección en un plazo de un día Para proporcionar una protección adecuada frente al malware recién publicado, las firmas de protección de Windows Defender deben actualizarse periódicamente para que abarquen el malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben habilitar la protección en tiempo real de Windows Defender Las máquinas Windows deben habilitar la protección en tiempo real en Windows Defender para proporcionar una protección adecuada frente al malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben tener instalada la extensión de Log Analytics en Azure Arc Las máquinas no son compatibles si el agente de Log Analytics no está instalado en el servidor de Windows habilitado para Azure Arc. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben establecer que Windows Defender realice un examen programado todos los días Las máquinas Windows deben programar Windows Defender para realizar un examen programado todos los días y asegurarse de que el malware se identifique rápidamente para minimizar el efecto que esto puede tener en el entorno. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben usar el servidor NTP predeterminado Configure "time.windows.com" como servidor NTP predeterminado para todas las máquinas Windows y asegurarse de que los registros de todos los sistemas tengan relojes del sistema sincronizados. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.0.0

HDInsight

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los clústeres de Azure HDInsight deben insertarse en una red virtual Al insertar clústeres de Azure HDInsight en una red virtual, se desbloquean las características avanzadas de redes y seguridad de HDInsight y se proporciona control sobre la configuración de seguridad de la red. Audit, Disabled, Deny 1.0.0
Los clústeres de Azure HDInsight deben usar claves administradas por el cliente para cifrar los datos en reposo Utilice claves administradas por el cliente para administrar el cifrado en reposo de los clústeres de Azure HDInsight. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Los clústeres de Azure HDInsight deben usar el cifrado en el host para cifrar los datos en reposo. La habilitación del cifrado en el host ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. Audit, Deny, Disabled 1.0.0
Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. Audit, Deny, Disabled 1.0.0
Azure HDInsight debe usar un vínculo privado. Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. AuditIfNotExists, Disabled 1.0.0
Configuración de clústeres de Azure HDInsight para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en clústeres de Azure HDInsight. Más información en: https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0
Configuración de los clústeres de Azure HDInsight con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0

Health Bot

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Health Bot debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de los bots de mantenimiento. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información en https://docs.microsoft.com/azure/health-bot/cmk. Audit, Disabled 1.0.0

Healthcare API

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
CORS no debe permitir que todos los dominios accedan a la API para FHIR. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan al servicio FHIR. Para proteger el servicio FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0

Internet de las cosas

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Azure IoT Hub debe usar una clave administrada por el cliente para cifrar los datos en reposo El cifrado de datos en reposo en IoT Hub con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas, permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos a través del control de acceso de claves. Las claves administradas por el cliente deben configurarse durante la creación de IoT Hub. Para más información sobre cómo configurar las claves administradas por el cliente, vea https://aka.ms/iotcmk. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Las cuentas de Azure Device Update for IoT Hub deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a cuentas de Azure Device Update IoT Hub, se reducen los riesgos de pérdida de datos. AuditIfNotExists, Disabled 1.0.0
Azure IoT Hub debe tener deshabilitados los métodos de autenticación local para las API de servicio La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación de la API de servicio. Más información en: https://aka.ms/iothubdisablelocalauth. Audit, Deny, Disabled 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub para deshabilitar el acceso desde la red pública Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Device Update for IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso desde la red pública en recursos de Device Update for IoT Hub. Modificar, Deshabilitado 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub para utilizar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de Device Update for IoT Hub. DeployIfNotExists, Disabled 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub con punto de conexión privado Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para la instancia de Device Update for IoT Hub a fin de permitir que los servicios que operan en la red virtual llegue a este recurso sin necesidad de enviar el tráfico al punto de conexión público de Device Update for IoT Hub. DeployIfNotExists, Disabled 1.1.0
Configuración de Azure IoT Hub para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/iothubdisablelocalauth. Modificar, Deshabilitado 1.0.0
Configurar instancias de aprovisionamiento de dispositivos de IoT Hub para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver una instancia de servicio de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Configurar las instancias del servicios de aprovisionamiento de dispositivos de IoT Hub para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para su instancia de aprovisionamiento de dispositivos de IoT Hub para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/iotdpsvnet. Modificar, Deshabilitado 1.0.0
Configurar instancias del servicio de aprovisionamiento de dispositivos de IoT Hub con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, puede reducir los riesgos de pérdida de datos. Obtenga más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar instancias de Azure IoT Hub para usar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Hub. deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Implementación: configurar instancias de Azure IoT Hub con puntos de conexión privados Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Hub, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Hub sin necesidad de enviar el tráfico al punto de conexión público de IoT Hub. DeployIfNotExists, Disabled 1.0.0
Implementar: configurar IoT Central para usar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Central. DeployIfNotExists, Disabled 1.0.0
Implementar: Configurar instancias de IoT Central con puntos de conexión privados Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Central, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Central sin necesidad de enviar el tráfico al punto de conexión público de IoT Central. DeployIfNotExists, Disabled 1.0.0
IoT Central debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su aplicación IoT Central en lugar de a todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotcentral-network-security-using-pe. Audit, Deny, Disabled 1.0.0
Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las instancias de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. Audit, Deny, Disabled 1.0.0
Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Modificación: configurar instancias de Azure IoT Hub para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. Modificar, Deshabilitado 1.0.0
Modificar: configurar IoT Central para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a IoT Central desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. Modificar, Deshabilitado 1.0.0
El punto de conexión privado debe estar habilitado para IoT Hub Las conexiones de punto de conexión privado aplican una comunicación segura mediante la habilitación de la conectividad privada con IoT Hub. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. Audit, Disabled 1.0.0
El acceso desde la red pública para cuentas de Azure Device Update for IoT Hub se debe deshabilitar Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a las cuentas de Azure Device Update for IoT Hub desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
Debe deshabilitarse el acceso a la red pública en Azure IoT Hub Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
El acceso a las redes públicas debe estar deshabilitado para IoT Central Para reforzar la seguridad de IoT Central, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/iotcentral-restrict-public-access. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
Los registros de recursos de IoT Hub deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 3.0.1

Key Vault

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: Las claves HSM administradas de Azure Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Las claves HSM administradas de Azure Key Vault Managed deben tener más del número especificado de días antes de la expiración Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía de curva elíptica deben tener los nombres de curva especificados Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía RSA deben tener un tamaño de clave mínimo especificado Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: HSM administrado de Azure Key Vault debe deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: HSM administrado de Azure Key Vault debe usar Private Link Private Link proporciona una manera de conectar HSM administrado de Azure Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: las instancias de Azure Key Vault deben usar Private Link Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los certificados deben tener el período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.2.0-preview
[Versión preliminar]: [Versión preliminar]: los certificados no deben expirar en el número de días especificado Administre los certificados que expirarán en el transcurso del número de días que se haya especificado para asegurarse de que su organización disponga de tiempo suficiente para la rotación del certificado antes de la expiración. audit, Audit, deny, Deny, disabled, Disabled 2.1.0-preview
[Versión preliminar]: [Versión preliminar]: configuración del HSM administrado de Azure Key Vault para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modificar, Deshabilitado 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de HSM administrado de Azure Key Vault con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a HSM administrado de Azure Key Vault, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de Azure Key Vaults para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver en el almacén de claves. Más información en: https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de instancias de Azure Key Vault con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el punto de conexión privado debe estar configurado para Key Vault Private Link proporciona una manera de conectar Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Audit, Deny, Disabled 1.1.0-preview
El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. Audit, Deny, Disabled 1.0.0
Azure Key Vault debe deshabilitar el acceso de red público. Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.0.0
Azure Key Vault debe tener el firewall habilitado Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. A continuación, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.0.0
Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados debe emitirlos la entidad de certificación no integrada que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación internas o personalizadas que pueden emitir certificados en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados deben disponer de los desencadenadores de acciones de duración que se hayan especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique si se desencadenará una acción de duración del certificado cuando se alcance un porcentaje determinado de duración o un número determinado de días antes de la expiración. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados deben utilizar tipos de clave admitidos Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Configurar almacenes de claves para habilitar el firewall Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. A continuación, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Modificar, Deshabilitado 1.1.1
Implementación: configurar las opciones de diagnóstico de Azure Key Vault en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Azure Key Vault para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Key Vault a la que le falta esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.1
Implementar: realizar la configuración de diagnóstico en un centro de eventos para que se habilite en el HSM administrado de Azure Key Vault Permite implementar la configuración de diagnóstico en el HSM administrado de Azure Key Vault para que se transmita a un centro de eventos regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para Key Vault en el Centro de eventos Implementa la configuración de diagnóstico para que Key Vault se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. deployIfNotExists 3.0.0
Las claves de Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.2
Los secretos de Key Vault deben tener una fecha de expiración Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. Audit, Deny, Disabled 1.0.2
Los almacenes de claves deben tener habilitada la protección contra operaciones de purga La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar los almacenes de claves. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Audit, Deny, Disabled 2.0.0
Los almacenes de claves deben tener habilitada la eliminación temporal Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. Audit, Deny, Disabled 3.0.0
Las claves deben estar respaldadas por un módulo de seguridad de hardware (HSM) Un HSM es un módulo de seguridad de hardware que almacena claves. Un HSM proporciona una capa física de protección para las claves criptográficas. La clave criptográfica no puede salir de un HSM físico que proporciona un mayor nivel de seguridad que una clave de software. Audit, Deny, Disabled 1.0.1
Las claves deben ser del tipo criptográfico especificado, RSA o EC Algunas aplicaciones requieren el uso de claves respaldadas por un tipo criptográfico específico. Aplique un tipo de clave criptográfica (ya sea RSA o EC) determinado en su entorno. Audit, Deny, Disabled 1.0.1
Las claves deben tener más días que los especificados en la expiración Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.1
Las claves deben tener un período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que una clave puede ser válido en el almacén de claves. Audit, Deny, Disabled 1.0.1
Las claves no deben estar activas durante más tiempo que el número especificado de días Especifique el número de días que debe estar activa una clave. Las claves que se usan durante un período de tiempo prolongado aumentan la probabilidad de que un atacante pueda ponerlas en peligro. Por ello, se recomienda como práctica de seguridad que las claves no estén activas durante más de dos años. Audit, Deny, Disabled 1.0.1
Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. Audit, Deny, Disabled 1.0.1
Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. Audit, Deny, Disabled 1.0.1
Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.0.0
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Los secretos deben tener establecido el tipo de contenido Una etiqueta de tipo de contenido le permitirá identificar si un secreto es una contraseña, una cadena de conexión, etc. Los distintos secretos tienen diferentes requisitos de rotación. La etiqueta de tipo de contenido debe establecerse en secretos. Audit, Deny, Disabled 1.0.1
Los secretos deben tener más días que los especificados en la expiración Si un secreto está demasiado cerca de la expiración, un retraso de la organización para rotar el secreto puede producir una interrupción. Los secretos se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.1
Los secretos deben tener un período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que un secreto puede ser válido en el almacén de claves. Audit, Deny, Disabled 1.0.1
Los secretos no deben estar activos durante más tiempo que el número especificado de días Si los secretos se crearon con una fecha de activación establecida en el futuro, debe asegurarse de que esos secretos no hayan estado activos durante más tiempo del especificado. Audit, Deny, Disabled 1.0.1

Kubernetes

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0 (preliminar)
[Versión preliminar]: [Versión preliminar]: los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar] Configuración de clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled 7.1.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de clústeres de Kubernetes habilitados para Azure Arc para instalar la extensión de Azure Policy Implemente la extensión de Azure Policy para Azure Arc a fin de proporcionar cumplimientos a escala y proteger los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.0.0-preview
[Vista previa]: Los clústeres de Kubernetes deben canalizar la implementación de imágenes vulnerables Proteja los clústeres de Kubernetes y las cargas de trabajo de contenedor frente a posibles amenazas mediante la restricción de la implementación de imágenes de contenedor con componentes de software vulnerables. Use Azure Defender análisis de CI/CD (https://aka.ms/AzureDefenderCICDscanning) y Azure Defender para registros de contenedor (https://aka.ms/AzureDefenderForContainerRegistries) para identificar y aplicar revisiones a las vulnerabilidades antes de la implementación. Requisito previo de evaluación: complemento de directiva y Azure Defender perfil. Solo se aplica a los clientes de versión preliminar privada. Audit, Deny, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: los clústeres de Kubernetes deben restringir la creación del tipo de recurso especificado. Dado el tipo de recurso de Kubernetes no se debe implementar en un determinado espacio de nombres. Audit, Deny, Disabled 1.1.0-preview
Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Open Service Mesh instalada La extensión Open Service Mesh proporciona todas las capacidades de malla de servicio estándar para la seguridad, la administración del tráfico y la capacidad de observación de los servicios de aplicación. Más información aquí: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Los clústeres de Azure Kubernetes deben usar Azure CNI Azure CNI es un requisito previo para algunas características de Azure Kubernetes Service, incluidas las directivas de red de Azure, los grupos de nodos de Windows y el complemento de nodos virtuales. Más información en: https://aka.ms/aks-azure-cni Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben deshabilitar la invocación de comandos Deshabilitar la invocación de comandos puede mejorar la seguridad, puesto que evita la omisión del acceso restringido a la red o el control de acceso basado en roles de Kubernetes Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben habilitar la integración de Azure Active Directory La integración de Azure Active Directory administrada por AKS puede administrar el acceso a los clústeres mediante la configuración del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes), en función de la identidad de un usuario o la pertenencia a grupos de directorios. Más información en: https://aka.ms/aks-managed-aad. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Disabled 2.0.0
Los clústeres de Azure Kubernetes Service deben tener los métodos de autenticación local deshabilitados La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los clústeres de Azure Kubernetes Service deben exigir exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aks-disable-local-accounts. Audit, Deny, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben usar identidades administradas Use identidades administradas para encapsular entidades de servicio, simplificar la administración de clústeres y evitar la complejidad necesaria para las entidades de servicio administradas. Más información en: https://aka.ms/aks-update-managed-identities Audit, Disabled 1.0.0
Los clústeres privados de Azure Kubernetes Service deben estar habilitados Habilite la característica de clúster privado para el clúster de Azure Kubernetes Service a fin de asegurarse de que el tráfico de red entre el servidor de API y los grupos de nodos permanece solo en la red privada. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.0
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. Audit, Disabled 1.0.2
Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.0
Configurar clústeres de Azure Kubernetes Service integrados de AAD con el acceso de grupo de administración necesario Asegúrese de mejorar la seguridad del clúster mediante un control centralizado del acceso de administrador a los clústeres de AKS integrados de Azure Active Directory. DeployIfNotExists, Disabled 2.0.0
Configurar clústeres de Azure Kubernetes Service para habilitar el perfil de Defender Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Obtenga más información sobre Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Disabled 4.0.0
Configurar la instalación de la extensión Flux en el clúster de Kubernetes Instalar la extensión Flux en el clúster de Kubernetes para habilitar la implementación de "fluxconfigurations" en el clúster DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el origen y los secretos del cubo en KeyVault Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere un objeto SecretKey de cubo almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y el certificado de entidad de certificación de HTTPS Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un certificado de entidad de certificación HTTPS. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos HTTPS Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada HTTPS almacenada en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos locales Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos SSH Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada SSH almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT público Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con el origen de cubo de Flux v2 especificado mediante secretos locales Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos HTTPS Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere que los secretos de usuario y clave de HTTPS estén almacenados en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada sin secretos Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos SSH Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere un secreto de clave privada SSH en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Implementación: configure las opciones de diagnóstico de Azure Kubernetes Service en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Azure Kubernetes Service para transmitir los registros de recursos a un área de trabajo de Log Analytics. DeployIfNotExists, Disabled 3.0.0
Implementación del complemento de Azure Policy en los clústeres de Azure Kubernetes Service Use el complemento de Azure Policy para administrar e informar sobre el estado de cumplimiento de los clústeres de Azure Kubernetes Service (AKS). Para obtener más información, vea https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 4.0.0
Deshabilitar la invocación de comandos en los clústeres de Azure Kubernetes Service Si deshabilita la invocación de comandos, puede mejorar la seguridad al rechazar el acceso de invoke-command al clúster DeployIfNotExists, Disabled 1.0.0
Asegúrese de que los contenedores de clúster tienen configurados sondeos de comprobación o ejecución Esta directiva exige que todos los pods tengan configurados sondeos de preparación o ejecución. Los sondeos pueden ser cualquiera de tipo tcpSocket, httpGet y exec. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.1
Los contenedores de clúster de Kubernetes no deben usar interfaces sysctl prohibidas Los contenedores no deben usar interfaces sysctl prohibidas en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.2
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.1
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Los contenedores de clúster de Kubernetes solo deben usar el tipo ProcMountType permitido Los contenedores de pods solo pueden usar tipos ProcMountType permitidos en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.0.1
Los contenedores de clúster de Kubernetes solo deben usar la directiva de extracción permitida Restrinja la directiva de extracción de los contenedores para exigir que los contenedores solo usen imágenes permitidas en implementaciones. Audit, Deny, Disabled 2.0.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de seccomp permitidos Los contenedores de pods solo pueden usar perfiles de seccomp permitidos en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.1
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Los volúmenes FlexVolume del pod de clúster de Kubernetes solo deben usar controladores permitidos Los volúmenes FlexVolume del pod solo deben usar controladores permitidos en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.0
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.2
Los pods y contenedores de los clústeres de Kubernetes solo deben usar opciones de SELinux permitidas Los pods y contenedores solo deben usar opciones de SELinux permitidas en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.2
Los pods del clúster de Kubernetes solo pueden usar tipos de volumen permitidos Los pods solo pueden usar tipos de volúmenes permitidos en los clústeres de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Los pods del clúster de Kubernetes deben usar etiquetas especificadas Use las etiquetas especificadas para identificar los pods en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.1
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.0.0
Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas Use direcciones IP externas permitidas para evitar un ataque potencial (CVE-2020-8554) en un clúster de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.1
No permitir contenedores con privilegios en el clúster de Kubernetes No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.0.0
El clúster de Kubernetes no debe usar pods desnudos Bloquee el uso de pods desnudos. Los pods desnudos no se volverán a programar en caso de error de nodo. Los pods deben administrarse mediante Deployment, Replicset, DaemonSet o Jobs Audit, Deny, Disabled 1.0.0
Los contenedores de Windows del clúster de Kubernetes no deben sobreasignar la CPU y la memoria Las solicitudes de recursos de contenedores de Windows deben ser menores o iguales que el límite de recursos o no estar especificados para evitar sobreasignaciones. Si la memoria de Windows está sobreaprovisionada, procesará las páginas en el disco, lo que puede ralentizar el rendimiento, en lugar de terminar el contenedor con memoria insuficiente. Audit, Deny, Disabled 1.0.2
Los contenedores de Windows del clúster de Kubernetes solo deben ejecutarse con un grupo de usuarios de dominio y usuario aprobado Controle el usuario que los contenedores y pods de Windows pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods sobre los nodos de Windows, que están pensadas para mejorar la seguridad de los entornos de Kubernetes. Audit, Deny, Disabled 1.0.0
Los clústeres de Kubernetes solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta funcionalidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 7.0.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 3.0.1
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.1
Los clústeres de Kubernetes no deben permitir permisos de edición de puntos de conexión de ClusterRole/System:aggregate-to-edit ClusterRole/system:aggregate-to-edit no debe permitir permisos de edición de puntos de conexión debido a CVE-2021-25740, los permisos Endpoint & EndpointSlice permiten el reenvío entre espacios de nombres, https://github.com/kubernetes/kubernetes/issues/103675. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. Audit, Disabled 2.0.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.0
Los clústeres de Kubernetes no deben usar funcionalidades de seguridad específicas Evite las funcionalidades de seguridad específicas en los clústeres de Kubernetes para impedir los privilegios no concedidos en el recurso de pod. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.1
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 3.0.1
Los clústeres de Kubernetes deben usar el controlador StorageClass de Container Storage Interface (CSI) La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Kubernetes. El aprovisionador en árbol StorageClass debería estar en desuso desde la versión 1.21 de AKS. Para obtener más información, https://aka.ms/aks-csi-driver Audit, Deny, Disabled 1.1.0
Los clústeres de Kubernetes deben usar equilibradores de carga internos Use equilibradores de carga internos para que un servicio de Kubernetes sea accesible solo para las aplicaciones que se ejecutan en la misma red virtual que el clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.0.0
Los recursos Kubernetes deben tener las anotaciones necesarias Asegúrese de que las anotaciones necesarias están asociadas en un tipo de recurso de Kubernetes determinado para mejorar la administración de recursos en los recursos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0
Los registros de recursos de Azure Kubernetes Service se deben habilitar Los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear trazos de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario AuditIfNotExists, Disabled 1.0.0
Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.0

Lab Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Lab Services debe habilitar todas las opciones para el apagado automático Esta directiva proporciona ayuda con la administración de costos, pues obliga a que todas las opciones de apagado automático estén habilitadas para un laboratorio. Audit, Deny, Disabled 1.1.0
Lab Services no debe permitir máquinas virtuales de plantilla para laboratorios Esta directiva impide la creación y personalización de máquinas virtuales de plantilla para laboratorios administrados a través de Lab Services. Audit, Deny, Disabled 1.1.0
Lab Services debe requerir un usuario que no sea administrador para los laboratorios Esta directiva requiere que se creen cuentas de usuario que no sean de administrador para los laboratorios administrados a través de lab-services. Audit, Deny, Disabled 1.1.0
Lab Services debe restringir los tamaños de SKU de máquina virtual permitidos Esta directiva le permite restringir determinadas SKU de máquina virtual de proceso para laboratorios administrados a través de Lab Services. Esto restringirá determinados tamaños de máquina virtual. Audit, Deny, Disabled 1.1.0

Lighthouse

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Permite administrar los id. de inquilino que se incorporarán mediante Azure Lighthouse La restricción de las delegaciones de Azure Lighthouse a inquilinos de administración concretos aumenta la seguridad, ya que limita los usuarios que pueden administrar los recursos de Azure. deny 1.0.1
Auditar la delegación de ámbitos a un inquilino de administración. Audita la delegación de los ámbitos a un inquilino de administración a través de Azure Lighthouse. Audit, Disabled 1.0.0

Logic Apps

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Deny, Disabled 1.0.0
Logic Apps debe implementarse en el Entorno del servicio de integración. La implementación de Logic Apps en el Entorno del servicio de integración en una red virtual desbloquea las características avanzadas de redes y seguridad de Logic Apps y proporciona un mayor control sobre la configuración de la red. Más información en: https://aka.ms/integration-service-environment. La implementación en el Entorno del servicio de integración también permite el cifrado con claves administradas por el cliente, que proporciona protección de datos mejorada al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. Audit, Deny, Disabled 1.0.0
Los registros de recursos de Logic Apps deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Machine Learning

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar si el clúster y la instancia de proceso de Azure Machine Learning están detrás de la red virtual La implementación de Azure Virtual Network aporta mayor seguridad y aislamiento a su instancia de clústeres de proceso de Machine Learning de Azure, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando una instancia de proceso de Machine Learning de Azure se configure con una red virtual, no será posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones de dentro de la red virtual. Audit, Disabled 1.0.0
La instancia de proceso de Azure Machine Learning debe tener un apagado por inactividad. Al tener una programación de apagado por inactividad, se reduce el coste al cerrar los procesos que están inactivos después de un período de actividad predeterminado. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Las áreas de trabajo de Azure Machine Learning deberían deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de aprendizaje automático no se exponga en la red pública de Internet. Se puede limitar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Audit, Deny, Disabled 2.0.0
Las áreas de trabajo de Azure Machine Learning deben habilitar V1LegacyMode para admitir la compatibilidad con versiones anteriores de aislamiento de red Azure ML realiza una transición a una nueva plataforma de API V2 en Azure Resource Manager y puede controlar la versión de la plataforma de API mediante el parámetro V1LegacyMode. La habilitación del parámetro V1LegacyMode le permitirá mantener las áreas de trabajo en el mismo aislamiento de red que V1, aunque no tendrá el uso de las nuevas características V2. Se recomienda activar el modo heredado V1 solo cuando desee mantener los datos del plano de control de AzureML dentro de las redes privadas. Más información en: https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. La asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning reduce los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Las áreas de trabajo de Azure Machine Learning deben usar la identidad administrada asignada por el usuario Administre el acceso al área de trabajo de Azure Machine Learning y a los recursos asociados, Azure Container Registry, KeyVault, Storage y App Insights mediante la identidad administrada asignada por el usuario. De forma predeterminada, el área de trabajo de Azure Machine Learning usa la identidad administrada asignada por el sistema para acceder a los recursos asociados. La identidad administrada asignada por el usuario le permite crear la identidad como recurso de Azure y mantener el ciclo de vida de esa identidad. Obtenga más información en https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.0.0
Configuración de las áreas de trabajo de Azure Machine Learning para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública de las áreas de trabajo de Azure Machine Learning para que estas no sean accesibles a través de la red pública de Internet. Esto ayuda a proteger las áreas de trabajo frente a riesgos de pérdida de datos. Puede limitar la exposición de las áreas de trabajo de aprendizaje automático mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0
Configuración de áreas de trabajo de Azure Machine Learning con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su área de trabajo de Azure Machine Learning, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Configurar los procesos de Machine Learning para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación de ubicación para que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. Modificar, Deshabilitado 1.0.0
Los procesos de Machine Learning deberían tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad ya que garantiza que los procesos de Machine Learning requerirán identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 1.0.0

Aplicación administrada

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La definición de aplicación para la aplicación administrada debe usar la cuenta de almacenamiento proporcionada por el cliente. Use su propia cuenta de almacenamiento para controlar los datos de definición de la aplicación cuando se trate de un requisito de cumplimiento normativo. Puede optar por almacenar la definición de aplicación administrada en la cuenta de almacenamiento que ha proporcionado durante la creación para que pueda administrar totalmente su ubicación y acceso para cumplir con los requisitos de cumplimiento normativo. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Implementación de asociaciones para aplicaciones administradas Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con la aplicación administrada especificada. Esta implementación de directiva no admite los tipos de recursos anidados. deployIfNotExists 1.0.0

Identidad administrada

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: Asignación de identidad administrada integrada asignada por el usuario a Virtual Machine Scale Sets Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a los conjuntos de escalado de máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: [Versión preliminar]: Asignación de identidad administrada integrada asignada por el usuario a Virtual Machines Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.2-preview

Maps

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
CORS no debe permitir que todos los recursos accedan a la cuenta de mapa. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la cuenta de mapa. Permita la interacción con la cuenta de mapa solo de los dominios requeridos. Disabled, Audit, Deny 1.0.0

Media Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Media Services deben desactivar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los recursos de Media Services no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. Audit, Deny, Disabled 1.0.0
Las cuentas de Azure Media Services deben usar una API que admita Private Link Las cuentas de Media Services se deben crear con una API que admita vínculo privado. Audit, Deny, Disabled 1.0.0
Se deben bloquear las cuentas de Azure Media Services que permitan el acceso a la v2 API heredada La API v2 (heredada) de Media Services permite solicitudes que no se pueden administrar mediante Azure Policy. Los recursos de Media Services creados mediante la API 2020-05-01 o posterior bloquean el acceso a la API v2 heredada. Audit, Deny, Disabled 1.0.0
Las directivas de clave de contenido de Azure Media Services deben usar la autenticación por tokens Las directivas de clave de contenido definen las condiciones que se deben cumplir para acceder a las claves de contenido. Una restricción de token garantiza que solo los usuarios que tengan tokens válidos de un servicio de autenticación puedan acceder a las claves de contenido, por ejemplo, Azure Active Directory. Audit, Deny, Disabled 1.0.0
Los trabajos de Azure Media Services con entradas HTTPS deben limitar los URI de entrada a patrones de URI permitidos Restrinja las entradas HTTPS que usan los trabajos de Media Services a puntos de conexión conocidos. Las entradas de los puntos de conexión HTTPS se pueden deshabilitar completamente estableciendo una lista vacía de patrones de entrada de trabajos permitidos. Cuando las entradas del trabajo especifican un elemento "baseUri", los patrones se comparan con este valor; cuando no se establece "baseUri", el patrón se compara con la propiedad "files". Deny, Disabled 1.0.1
Azure Media Services debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de las cuentas de Media Services. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/mediaservicescmkdocs. Audit, Deny, Disabled 1.0.0
Azure Media Services debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Disabled 1.0.0
Configuración de Azure Media Services para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Media Services con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0

Migrate

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar los recursos de Azure Migrate para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el proyecto de Azure Migrate. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0

Supervisión

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Configure máquinas Linux habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo Proteja sus máquinas Linux habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.0.0-preview
[Vista previa]: Configure máquinas Windows habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics Proteja sus máquinas Windows habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.1.0-preview
[Versión preliminar]: Configurar Dependency Agent en servidores Linux habilitados para Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Configurar Dependency Agent en servidores Windows habilitados para Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: configuración de la identidad administrada asignada por el sistema para habilitar las asignaciones de Azure Monitor en VM Configure una identidad administrada asignada por el sistema en las máquinas virtuales hospedadas en Azure compatibles con Azure Monitor que no tengan una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de Azure Monitor y debe agregarse a las máquinas antes de usar cualquier extensión de Azure Monitor. Las máquinas virtuales de destino deben estar en una ubicación admitida. Modificar, Deshabilitado 5.0.0-preview
[Versión preliminar]: Implementación de una regla de recopilación de datos de VMInsights y una asociación de reglas de recopilación de datos para todas las máquinas virtuales del grupo de recursos Permite implementar una regla de recopilación de datos para VMInsights una asociación de reglas de recopilación de datos para todas las máquinas virtuales del Grupo de recursos La directiva pregunta si se requiere la habilitación de procesos y dependencias y, en consecuencia, crea el DCR. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de una regla de recopilación de datos de VMInsights y una asociación de reglas de recopilación de datos para todo el conjunto de escalado de máquinas virtuales del grupo de recursos Permite implementar una regla de recopilación de datos para VMInsights y una asociación de reglas de recopilación de datos para todas las VMSS del Grupo de recursos. La directiva pregunta si se requiere la habilitación de procesos y dependencias y, en consecuencia, crea el DCR. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de una regla de recopilación de datos de VMInsights y una asociación de reglas de recopilación de datos para todas las máquinas habilitadas para Arc del grupo de recursos Permite implementar una regla de recopilación de datos para VMInsights y una asociación de reglas de recopilación de datos para todas las máquinas de Arc del Grupo de recursos. La directiva pregunta si se requiere la habilitación de procesos y dependencias y, en consecuencia, crea el DCR. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux con la configuración del agente de Azure Monitor Permite implementar Dependency Agent para conjuntos de escalado de máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de Dependency Agent para máquinas virtuales Linux con la configuración del agente de Azure Monitor Permite implementar Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows con la configuración del agente de Azure Monitor Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: Implementación de Dependency Agent para habilitarlo en las máquinas virtuales Windows con la configuración del agente de Azure Monitor Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 1.1.1-preview
[Vista previa]: La extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. AuditIfNotExists, Disabled 2.0.1-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
El registro de actividad debe conservarse durante al menos un año Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). AuditIfNotExists, Disabled 1.0.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 3.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Los componentes de Application Insights deberían bloquear la ingesta y consulta de registros desde redes públicas Mejore la seguridad de Application Insights mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de este componente. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los componentes de Application Insights deberían bloquear la ingesta no basada en Azure Active Directory. La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. Deny, Audit, Disabled 1.0.0
Los componentes de Application Insights con Private Link habilitado deberían usar sus propias cuentas de almacenamiento para el generador de perfiles y el depurador. Para admitir directivas de claves administradas por el cliente y vínculos privados, cree su propia cuenta de almacenamiento para el generador de perfiles y el depurador. Puede encontrar más información en https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Deny, Audit, Disabled 1.0.0
Auditar la configuración de diagnóstico Audite la configuración de diagnóstico para los tipos de recursos seleccionados. AuditIfNotExists 1.1.0
Las alertas de búsqueda de registros de Azure sobre las áreas de trabajo de Log Analytics deben usar claves administradas por el cliente Asegúrese de que las alertas de búsqueda de registros de Azure estén implementando claves administradas por el cliente. Para ello, almacene el texto de la consulta mediante la cuenta de almacenamiento que el cliente había proporcionado para el área de trabajo de Log Analytics consultada. Para más información, visite https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Disabled, Deny 1.0.0
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
El ámbito de Private Link de Azure Monitor debe bloquear el acceso a recursos que no sean de vínculos privados Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Deny, Disabled 1.0.0
El ámbito de Private Link de Azure Monitor debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al ámbito de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Disabled 1.0.0
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0
Se debe implementar la solución "Security and Audit" de Azure Monitor Esta directiva garantiza que se implementa Security and Audit. AuditIfNotExists, Disabled 1.0.0
Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. AuditIfNotExists, Disabled 1.0.0
Configurar registros de actividad de Azure para transmitirlos al área de trabajo especificada de Log Analytics Implementa la configuración de diagnóstico de actividad de Azure para hacer streaming en los registros de auditoría de suscripciones de suscripción a un área de trabajo de Log Analytics para supervisar los eventos en el nivel de suscripción. DeployIfNotExists, Disabled 1.0.0
Configuración de los componentes de Azure Application Insights para deshabilitar el acceso de la red pública para la ingesta y consulta de registros Deshabilite el acceso de redes públicas para la ingesta y consulta de registros de componentes a fin de mejorar la seguridad. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. Modificar, Deshabilitado 1.1.0
Configuración de áreas de trabajo de Azure Log Analytics para deshabilitar el acceso de la red pública para la ingesta y consulta de registros Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modificar, Deshabilitado 1.1.0
Configurar el ámbito de Private Link de Azure Monitor para bloquear el acceso a recursos que no sean de vínculos privados Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modificar, Deshabilitado 1.0.0
Configuración de su ámbito de Private Link de Azure Monitor para utilizar las zonas de DNS privado Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el ámbito de Private Link de Azure Monitor. Más información en: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Configuración de los ámbitos de Private Link de Azure Monitor con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los ámbitos de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Disabled 1.0.0
Configurar Dependency Agent en servidores Linux con Azure Arc habilitado Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configurar el agente de dependencias en servidores Windows con Microsoft Azure Arc habilitados Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configuración de las máquinas Linux Arc para asociarlas a una regla de recopilación de datos Implemente la asociación para vincular máquinas de Linux Arc con una regla de recopilación de datos especificada. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.1
Configuración de máquinas habilitadas para Linux Arc para ejecutar el agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Linux Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configuración de las máquinas Linux para asociarlas a una regla de recopilación de datos Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas de Arc a la regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 4.0.0
Configuración de Virtual Machine Scale Sets de Linux para asociarla a una regla de recopilación de datos Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales de Linux a una regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.0.0
Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el sistema Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configuración de Linux Virtual Machines para asociarlo a una regla de recopilación de datos Implemente la asociación para vincular máquinas virtuales de Linux a una regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.0.0
Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configurar la extensión de Log Analytics en servidores Linux con Azure Arc habilitado. Consulte el aviso de desuso a continuación Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha DeployIfNotExists, Disabled 2.1.1
Configurar la extensión de Log Analytics en servidores Windows con Azure Arc habilitado Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 2.1.1
Configuración del área de trabajo de Log Analytics y la cuenta de Automation para centralizar los registros y la supervisión Implemente un grupo de recursos que contenga el área de trabajo de Log Analytics y la cuenta de automatización vinculada para centralizar los registros y la supervisión. La cuenta de Automation es un requisito previo para soluciones como Actualizaciones y Change Tracking. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Configuración de máquinas de Windows Arc para asociarlas a una regla de recopilación de datos Implemente la asociación para vincular máquinas de Windows Arc a una regla de recopilación de datos especificada. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.1
Configuración de máquinas habilitadas de Windows Arc para ejecutar el Agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Windows Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.1.0
Configuración de máquinas Windows para que se asocien a una regla de recopilación de datos Implemente la asociación para vincular máquinas virtuales de Windows, conjuntos de escalado de máquinas virtuales y máquinas de Arc a la regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.1.0
Configuración de Virtual Machine Scale Sets de Windows para asociar la instancia a una regla de recopilación de datos Implemente la asociación para vincular los conjuntos de escalado de máquinas virtuales de Windows a una regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.1.0
Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.1.0
Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0
Configuración de Windows Virtual Machines para asociar la instancia a una regla de recopilación de datos Implementa la asociación para vincular Windows Virtual Machines a una regla de recopilación de datos especificada. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.1.0
Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 4.1.0
Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0
Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. AuditIfNotExists, Disabled 2.0.0
Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. AuditIfNotExists, Disabled 2.0.0
Implementación: configurar Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows Permite implementar Dependency Agent en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. DeployIfNotExists, Disabled 3.1.0
Implementación: configurar Dependency Agent para habilitarlo en máquinas virtuales Windows Permite implementar Dependency Agent en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 3.1.0
Implementar: realizar la configuración de diagnóstico en un área de trabajo de Log Analytics para que se habilite en el HSM administrado de Azure Key Vault Permite implementar la configuración de diagnóstico en un HSM administrado de Azure Key Vault para que la transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 3.0.1
Implementación: configuración de la extensión de Log Analytics para habilitarla en máquinas virtuales Windows Implemente la extensión de Log Analytics en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 3.0.1
Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. deployIfNotExists 4.0.0
Implementación de Dependency Agent para máquinas virtuales Linux Permite implementar Dependency Agent para las máquinas virtuales Linux si la imagen de VM (SO) está en la lista definida y el agente no está instalado. deployIfNotExists 4.0.0
Implementar la configuración de diagnóstico para una cuenta de Batch en un centro de eventos Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un centro de eventos regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico para una cuenta de Batch en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Data Lake Analytics en un centro de eventos Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Data Lake Analytics en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un centro de eventos Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para Event Hubs en un centro de eventos Implementa la configuración de diagnóstico para que Event Hubs se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.1.0
Implementar la configuración de diagnóstico para Event Hubs en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Event Hubs se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.1.0
Implementar la configuración de diagnóstico para Key Vault en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Key Vault se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 3.0.0
Implementar la configuración de diagnóstico para Logic Apps en un centro de eventos Implementa la configuración de diagnóstico para que Logic Apps se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Logic Apps en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Logic Apps se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para grupos de seguridad de red Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". deployIfNotExists 2.0.0
Implementar la configuración de diagnóstico de los servicios de búsqueda en el centro de eventos Implementa la configuración de diagnóstico para que Search Services se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de los servicios de búsqueda en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Search Services se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Service Bus en el Centro de eventos Implementa la configuración de diagnóstico para que Service Bus se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Service Bus en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Service Bus se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Stream Analytics en el Centro de eventos Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Stream Analytics en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementación de la extensión de Log Analytics para conjuntos de escalado de máquinas virtuales Linux. Consulte el aviso de desuso a continuación Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. Aviso de desuso: El agente de Log Analytics no se admitirá a partir del 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha deployIfNotExists 3.0.0
Implementación de la extensión de Log Analytics para máquinas virtuales Linux. Consulte el aviso de desuso a continuación Implemente la extensión de Log Analytics en máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha deployIfNotExists 3.0.0
Las máquinas habilitadas para Linux Arc deben tener instalado el agente de Azure Monitor Las máquinas habilitadas para Linux Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas habilitadas para Arc en las regiones admitidas. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.0.1
Los conjuntos de escalado de máquinas virtuales Linux deben tener el agente de Azure Monitor instalado Los conjuntos de escalado de máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará los conjuntos de escalado de máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 2.0.0
Las máquinas virtuales Linux deben tener el agente de Azure Monitor instalado Las máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 2.0.0
La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. AuditIfNotExists, Disabled 2.0.1
Las áreas de trabajo de Log Analytics deberían bloquear la ingesta y consulta de registros desde redes públicas Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Las áreas de trabajo de Log Analytics deberían bloquear la ingesta no basada en Azure Active Directory. La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. Deny, Audit, Disabled 1.0.0
Las direcciones IP públicas deben tener los registros de recursos habilitados para el estándar Azure DDoS Protection. Habilite los registros de recursos de las direcciones IP públicas en la configuración de diagnóstico para transmitirlos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico de ataque y las acciones realizadas para mitigar los ataques DDoS mediante las notificaciones, informes y registros de flujo. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0
Los registros de recursos deben estar habilitados para Auditar en recursos admitidos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. La existencia de una configuración de diagnóstico para el grupo de categorías Auditar en los tipos de recursos seleccionados garantiza que estos registros estén habilitados y capturados. Los tipos de recursos aplicables son aquellos que admiten el grupo de categorías "Auditar". AuditIfNotExists, Disabled 1.0.0
Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1
Las máquinas virtuales deben conectarse a un área de trabajo especificada Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. AuditIfNotExists, Disabled 1.1.0
Las máquinas virtuales deben tener la extensión de Log Analytics instalada Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1
Las máquinas habilitadas para Windows Arc deben tener instalado el agente de Azure Monitor Las máquinas habilitadas para Windows Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Las máquinas habilitadas para Windows Arc en las regiones admitidas se supervisan para la implementación del Agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.0.1
Los conjuntos de escalado de máquinas virtuales Windows deben tener el agente de Azure Monitor instalado Los conjuntos de escalado de máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Los conjuntos de escalado de máquinas virtuales con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales Windows deben tener el agente de Azure Monitor instalado Las máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. 00000000Las máquinas virtuales Windows con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.0.0
Los libros se deben guardar en las cuentas de almacenamiento que se controlan Con Traiga su propio almacenamiento (BYOS), los libros se cargan en una cuenta de almacenamiento que usted controla. Esto significa que controla la directiva de cifrado en reposo, la directiva de administración de la vigencia y el acceso a la red. Sin embargo, será responsable de los costos asociados a esa cuenta de almacenamiento. Para más información, visita https://aka.ms/workbooksByos. denegar, Denegar, auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0

Red

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: [Versión preliminar]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. Audit, Disabled 1.0.0
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.0
La directiva de Azure Firewall debe habilitar la inspección de TLS dentro de las reglas de aplicación Se recomienda habilitar la inspección de TLS para que todas las reglas de aplicación detecten, alerten y mitiguen la actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect Audit, Deny, Disabled 1.0.0
Las instancias de Azure VPN Gateway no deben usar la SKU "básica". Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". Audit, Disabled 1.0.0
Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.2
Definición de la configuración de diagnóstico de los grupos de seguridad de red de Azure para un área de trabajo de Log Analytics Implemente la configuración de diagnóstico en grupos de seguridad de red de Azure para transmitir registros de recursos a un área de trabajo de Log Analytics. DeployIfNotExists, Disabled 1.0.0
Configurar grupos de seguridad de red para habilitar el análisis de tráfico El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. DeployIfNotExists, Disabled 1.0.1
Configurar grupos de seguridad de red para usar el área de trabajo específica para el análisis de tráfico Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. DeployIfNotExists, Disabled 1.0.1
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. deployIfNotExists 1.0.1
Implementar Network Watcher al crear redes virtuales. Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. DeployIfNotExists 1.0.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Los registros de flujo se deben configurar para cada grupo de seguridad de red Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.1.0
Los registros de flujo se deben habilitar para cada grupo de seguridad de red Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.0.0
Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. deny 1.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las interfaces de red deben deshabilitar el reenvío IP Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. deny 1.0.0
Las interfaces de red no deben tener direcciones IP públicas. Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. deny 1.0.0
Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico El análisis de tráfico analiza los registros de flujo del grupo de seguridad de red de Network Watcher para proporcionar conclusiones sobre el flujo de tráfico en la nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. Audit, Disabled 1.0.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0
Las redes virtuales deben protegerse con el estándar Azure DDoS Protection. Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection Estándar. Para más información, visite https://aka.ms/ddosprotectiondocs. Modificación, auditoría y deshabilitación 1.0.0
Las redes virtuales deben usar la puerta de enlace de red virtual especificada Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. AuditIfNotExists, Disabled 1.0.0
Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. Audit, Deny, Disabled 1.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 2.0.0
Web Application Firewall (WAF) debe habilitar todas las reglas de firewall para Application Gateway Habilitar todas las reglas de Web Application Firewall (WAF) refuerza la seguridad de las aplicaciones y protege las aplicaciones web frente a vulnerabilidades comunes. Para obtener más información sobre Web Application Firewall (WAF) con Application Gateway, visite https://aka.ms/waf-ag Audit, Disabled, Deny 1.0.0
El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. Audit, Deny, Disabled 1.0.0
El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Portal

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los paneles compartidos no deben tener iconos de Markdown con contenido alineado No permitir la creación de un panel compartido que tenga contenido alineado en iconos de Markdown y exigir que el contenido se almacene como un archivo Markdown hospedado en línea. Si usa el contenido insertado en el icono de Markdown, no podrá administrar el cifrado del contenido. Mediante la configuración de su propio almacenamiento, puede aplicar cifrado y cifrado doble, e incluso aportar sus propias claves. Al habilitar esta directiva, se impide que los usuarios usen 2020-09-01-preview o una versión anterior de la API de REST de paneles compartidos. Audit, Deny, Disabled 1.0.0
Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El servicio Azure Cognitive Search debe usar una SKU que admita Private Link Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Los servicios de Azure Cognitive Search deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que el servicio de Azure Cognitive Search requiera exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. Tenga en cuenta que aunque el parámetro de deshabilitación de la autenticación local todavía está en versión preliminar, el efecto de denegación de esta directiva puede dar lugar a una funcionalidad limitada del portal de Azure Cognitive Search, ya que algunas características del portal usan la API de disponibilidad general que no admite el parámetro. Audit, Deny, Disabled 1.0.0
Los servicios de Azure Cognitive Search deben usar claves administradas por el cliente para cifrar los datos en reposo Al habilitar el cifrado en reposo con una clave administrada por el cliente en los servicios de Azure Cognitive Search, se proporciona un mayor control sobre la clave que se usa para el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales para gestionar claves de cifrado de datos con un almacén de claves. Audit, Deny, Disabled 1.0.0
Los servicios de Azure Cognitive Search deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Configurar los servicios de Azure Cognitive Search para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los servicios de Azure Cognitive Search exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. Modificar, Deshabilitado 1.0.0
Configurar los servicios de Azure Cognitive Search para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el servicio Azure Cognitive Search de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Modificar, Deshabilitado 1.0.0
Configurar los servicios de Azure Cognitive Search para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver el servicio Azure Cognitive Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Configurar los servicios de Azure Cognitive Search con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su instancia del servicio Azure Cognitive Search, puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Los registros de recursos de los servicios Search deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Security Center

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Linux Arc Instale el agente de seguridad de Azure en las máquinas virtuales Linux Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Linux Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Linux con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Linux Instale el agente de seguridad de Azure en las máquinas virtuales Linux con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Windows Arc Instale el agente de seguridad de Azure en las máquinas virtuales Windows Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en el conjunto de escalado de máquinas virtuales Windows Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Windows Instale el agente de seguridad de Azure en las máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Vista previa]: La extensión ChangeTracking debe instalarse en la máquina de Linux Arc Instale la extensión ChangeTracking en máquinas de Arc para Linux a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Vista previa]: La extensión ChangeTracking debe estar instalada en la máquina de Windows Arc Instale la extensión ChangeTracking en máquinas de Arc para Windows a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Windows Instale la extensión ChangeTracking en máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Configurar máquinas ARC para crear la canalización de Microsoft Defender for Cloud predeterminada mediante el agente de Azure Monitor Configurar máquinas ARC para crear la canalización de Microsoft Defender for Cloud predeterminada para el agente de Azure Monitor. Microsoft Defender for Cloud recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: [Versión preliminar]: Configurar máquinas ARC para crear la canalización de Microsoft Defender for Cloud definida por el usuario mediante el agente de Azure Monitor Configurar máquinas de ARC para crear la canalización de Microsoft Defender for Cloud definida por el usuario para el agente de Azure Monitor. Microsoft Defender for Cloud recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Use el área de trabajo de Log Analytics proporcionada por el usuario para almacenar los registros de auditoría. Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics proporcionada por el usuario. Las máquinas de Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: [Versión preliminar]: Configurar una asociación para vincular máquinas ARC a la regla de recopilación de datos predeterminada de Microsoft Defender for Cloud Configure las máquinas ARC para crear automáticamente una asociación con la regla de recopilación de datos predeterminada para Microsoft Defender for Cloud. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta máquina de Arc. Las máquinas de Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: [Versión preliminar]: Configurar la asociación para vincular máquinas ARC a una regla de recopilación de datos de Microsoft Defender for Cloud definida por el usuario Configure las máquinas ARC para crear automáticamente una asociación con la regla de recopilación de datos definida por el usuario para Microsoft Defender for Cloud. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta máquina de Arc. Las máquinas de Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: [Versión preliminar]: Configurar una asociación para vincular máquinas virtuales a la regla de recopilación de datos predeterminada de Microsoft Defender for Cloud Configure las máquinas para crear automáticamente una asociación con la regla de recopilación de datos predeterminada para Microsoft Defender for Cloud. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad para esta máquina virtual. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 2.1.1-preview
[Versión preliminar]: [Versión preliminar]: Configurar la asociación para vincular máquinas virtuales a una regla de recopilación de datos de Microsoft Defender for Cloud definida por el usuario Configure las máquinas para crear automáticamente una asociación con la regla de recopilación de datos definida por el usuario para Microsoft Defender for Cloud. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad para esta máquina virtual. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.1.1-preview
[Versión preliminar]: [Versión preliminar]: configurar el agente de Azure Defender para SQL en máquinas virtuales Configure las máquinas Windows para que instalen automáticamente el agente de Azure Defender para SQL en el agente de Azure Monitor instalado. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Vista previa]: Configurar la extensión ChangeTracking para las máquinas de Linux Arc Configure máquinas de Arc para Linux para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para los conjuntos de escalado de máquinas virtuales Linux Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para máquinas virtuales Linux Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Vista previa]: Configurar la extensión ChangeTracking para las máquinas de Windows Arc Configure máquinas de Arc para Windows para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Vista previa]: Configurar la extensión ChangeTracking para los conjuntos de escalado de máquinas virtuales Windows Configure conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para las máquinas virtuales Windows Configure máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: Configurar máquinas para crear la canalización de Microsoft Defender for Cloud definida por el usuario mediante el agente de Azure Monitor Configure las máquinas para crear la canalización de Microsoft Defender for Cloud definida por el usuario mediante el agente de Azure Monitor. Microsoft Defender for Cloud recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Use el área de trabajo de Log Analytics proporcionada por el usuario para almacenar los registros de auditoría. Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics proporcionada por el usuario. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.2.0-preview
[Vista previa]: Configuración de las máquinas de Linux Arc para instalar automáticamente el agente de seguridad de Azure Configure máquinas Linux Arc para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Linux Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación del invitado Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 5.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. DeployIfNotExists, Disabled 5.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure Configure máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 6.0.0 (preliminar)
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación del invitado Configure máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 6.0.0 (preliminar)
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales compatibles para habilitar automáticamente vTPM Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. DeployIfNotExists, Disabled 2.0.0-preview
[Vista previa]: Configuración de las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Windows Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure Configure las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 4.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Los conjuntos de escalado de máquinas virtuales Windows de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitado Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Windows compatibles para habilitar automáticamente el arranque seguro Configure las máquinas virtuales Windows admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. DeployIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitado Configure máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 4.0.0-preview
[Versión preliminar]: [Versión preliminar]: Configurar máquinas virtuales para crear la canalización de Microsoft Defender for Cloud predeterminada mediante el agente de Azure Monitor Configure las máquinas virtuales para crear la canalización de Microsoft Defender for Cloud predeterminada mediante el agente de Azure Monitor. Microsoft Defender for Cloud recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas virtuales de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 5.2.0-preview
[Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado Configure máquinas virtuales creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configurar VMSS creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado Configure VMSS creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. DeployIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux Implementa el agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Linux Implementa el agente de Microsoft Defender para punto de conexión en las imágenes de VM de Linux aplicables. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows Implementa el agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows Implementa Microsoft Defender para punto de conexión en las imágenes de VM de Windows aplicables. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en las máquinas virtuales Linux Instale la extensión de atestación de invitados en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza. AuditIfNotExists, Disabled 5.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro. AuditIfNotExists, Disabled 4.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en las máquinas virtuales Windows Instale la extensión de atestación de invitados en máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. AuditIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en el conjunto de escalado de las máquinas virtuales Windows Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro. AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque Los Términos de uso de Azure prohíben el uso de servicios de Azure de maneras que puedan dañar, deshabilitar, sobrecargar o afectar a cualquier servidor de Microsoft o a la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza. Audit, Disabled 3.0.0-preview
[Versión preliminar]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: el estado de atestación del invitado de la máquina virtual debe ser correcto La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. Audit, Disabled 2.0.0-preview
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir a los atacantes acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. AuditIfNotExists, Disabled 3.0.0
Los intervalos IP autorizados deben definirse en los servicios de Kubernetes Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. Audit, Disabled 2.0.1
El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. AuditIfNotExists, Disabled 1.0.1
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores de Azure SQL Database Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Azure Defender para DNS Azure Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Azure Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Azure Defender para Resource Manager Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores SQL Server en las máquinas Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Azure Defender para Storage Azure Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas. AuditIfNotExists, Disabled 1.0.3
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. AuditIfNotExists, Disabled 1.0.0
Las instancias de rol de Cloud Services (soporte extendido) deben tener instalada una solución de Endpoint Protection Para proteger las instancias de rol de Cloud Services (soporte extendido) de amenazas y vulnerabilidades, asegúrese de que tiene instalada en ellas una solución de Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. AuditIfNotExists, Disabled 1.0.0
Configuración para habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. DeployIfNotExists, Disabled 1.0.1
Configuración para habilitar Azure Defender para una base de datos de Azure SQL Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. DeployIfNotExists, Disabled 1.0.0
Configuración para habilitar Azure Defender para DNS Azure Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Azure Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. DeployIfNotExists, Disabled 1.0.1
Configuración para habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. DeployIfNotExists, Disabled 1.0.1
La configuración de Azure Defender para las bases de datos relacionales de código abierto debería estar habilitada Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. DeployIfNotExists, Disabled 1.0.0
Configuración para habilitar Azure Defender para Resource Manager Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. DeployIfNotExists, Disabled 1.0.1
Configuración para habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. DeployIfNotExists, Disabled 1.0.0
Configuración para habilitar Azure Defender para servidores SQL en máquinas Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. DeployIfNotExists, Disabled 1.0.0
Configuración para habilitar Azure Defender para Storage Azure Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas. DeployIfNotExists, Disabled 1.0.0
Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de valoración de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. DeployIfNotExists, Disabled 4.0.0
La configuración de Microsoft Defender para API debe estar habilitada Microsoft Defender para API ofrece nuevas funciones de detección, protección, detección, & cobertura de respuesta para supervisar ataques basados en API comunes & errores de configuración de seguridad. DeployIfNotExists, Disabled 1.0.0
Configuración de Microsoft Defender para Azure Cosmos DB para habilitarlo Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. DeployIfNotExists, Disabled 1.0.0
La configuración de Microsoft Defender para contenedores debería estar habilitada Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. DeployIfNotExists, Disabled 1.0.0
Configurar Microsoft Defender para SQL para habilitarlo en áreas de trabajo de Synapse Habilite Microsoft Defender para SQL en las áreas de trabajo de Azure Synapse para detectar actividades anómalas que revelen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos de SQL o de explotarlas. DeployIfNotExists, Disabled 1.0.0
Las imágenes del registro de contenedor deben tener resueltas las conclusiones de vulnerabilidades. La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. AuditIfNotExists, Disabled 2.0.1
Implementación: configuración de reglas de eliminación de alertas de Azure Security Center Elimine las alertas de Azure Security Center para reducir la fatiga que estas ocasionan, mediante la implementación de reglas de eliminación en el grupo de administración o la suscripción. deployIfNotExists 1.0.0
Implementar la exportación al centro de eventos para los datos de Microsoft Defender for Cloud Habilite la exportación al centro de eventos de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del centro de eventos con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. deployIfNotExists 4.1.0
Implementar la exportación al área de trabajo de Log Analytics para los datos de Microsoft Defender for Cloud Habilite la exportación al área de trabajo de Log Analytics de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del área de trabajo de Log Analytics con sus condiciones y área de trabajo de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. deployIfNotExists 4.1.0
Implementación de la automatización de flujos de trabajo para alertas de Microsoft Defender for Cloud Habilite la automatización de las alertas de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. deployIfNotExists 5.0.0
Implementación de la automatización de flujos de trabajo para recomendaciones de Microsoft Defender for Cloud Habilite la automatización de las recomendaciones de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. deployIfNotExists 5.0.0
Implementación de la automatización de flujos de trabajo para el cumplimiento normativo de Microsoft Defender for Cloud Habilite la automatización del cumplimiento normativo de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. deployIfNotExists 5.0.0
Las cuentas en desuso deben quitarse de la suscripción Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0
Habilitación de los planes de Microsoft Defender for Cloud en la suscripción Identifica las suscripciones existentes que Microsoft Defender for Cloud no supervisa y las protege con las características gratuitas de Defender for Cloud. Las suscripciones ya supervisadas se considerarán compatibles. Para registrar las suscripciones recién creadas, abra la pestaña Cumplimiento, seleccione la asignación no compatible pertinente y cree una tarea de corrección. deployIfNotExists 1.0.1
Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con un área de trabajo personalizada. Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante un área de trabajo personalizada. DeployIfNotExists, Disabled 1.0.0
Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con el área de trabajo predeterminada. Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante el área de trabajo predeterminada de ASC. DeployIfNotExists, Disabled 1.0.0
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
La protección de los puntos de conexión debe instalarse en las máquinas Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. AuditIfNotExists, Disabled 1.0.0
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de propietario deben quitarse de la suscripción Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de lectura deben quitarse de la suscripción Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de escritura deben quitarse de la suscripción Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
La extensión "Configuración de invitado" debe estar instalada en las máquinas Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ Audit, Disabled 1.0.2
El agente de Log Analytics debe instalarse en las instancias de rol de Cloud Services (soporte extendido) Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. AuditIfNotExists, Disabled 2.0.0
El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad AuditIfNotExists, Disabled 1.0.0
El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. AuditIfNotExists, Disabled 1.0.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
Se debe habilitar Microsoft Defender para las API Microsoft Defender para API ofrece nuevas funciones de detección, protección, detección, & cobertura de respuesta para supervisar ataques basados en API comunes & errores de configuración de seguridad. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender para Azure Cosmos DB debe estar habilitado Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender para contenedores debería estar habilitado Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Microsoft Defender para SQL para las áreas de trabajo de Synapse Habilite Defender para SQL para proteger las áreas de trabajo de Synapse. Defender for SQL supervisa el Synapse SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. AuditIfNotExists, Disabled 1.0.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.2
Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidad La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. AuditIfNotExists, Disabled 1.0.1
Es necesario seleccionar el plan de tarifa estándar de Security Center. El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. Audit, Disabled 1.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. AuditIfNotExists, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. AuditIfNotExists, Disabled 3.0.0
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

Service Bus

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres de Service Bus Los clientes de Service Bus no deben usar una directiva de acceso de nivel de espacio de nombres que proporciona acceso a todas las colas y temas de un espacio de nombres. Para alinearse con el modelo de seguridad con privilegios mínimos, debe crear directivas de acceso en las entidades para que las colas y los temas proporcionen acceso solo a la entidad específica. Audit, Deny, Disabled 1.0.1
Los espacios de nombres de Azure Service Bus deben tener los métodos de autenticación local deshabilitados La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de Azure Service Bus requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/disablelocalauth-sb. Audit, Deny, Disabled 1.0.0
Los espacios de nombres de Azure Service Bus deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Configuración de los espacios de nombres de Azure Service Bus para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los espacios de nombres de Azure ServiceBus requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/disablelocalauth-sb. Modificar, Deshabilitado 1.0.0
Configurar los espacios de nombres de Service Bus para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los espacios de nombres de Service Bus. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
Configurar los espacios de nombres de Service Bus con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
Los registros de recursos de Service Bus deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los espacios de nombres de Service Bus deberían deshabilitar el acceso a la red pública Azure Service Bus debe tener deshabilitado el acceso a la red pública. Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service Audit, Deny, Disabled 1.0.0
Los espacios de nombres de Service Bus deben tener habilitado el cifrado doble La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. Audit, Deny, Disabled 1.0.0
Los espacios de nombres prémium de Service Bus deben usar una clave administrada por el cliente para el cifrado Azure Service Bus permite cifrar los datos en reposo con claves administradas por Microsoft (opción predeterminada) o claves administradas por el cliente. Si decide cifrar los datos con claves administradas por el cliente, podrá asignar, rotar, deshabilitar y revocar el acceso a las claves que Service Bus utiliza para cifrar los datos en el espacio de nombres. Tenga en cuenta que Service Bus solo admite el cifrado con claves administradas por el cliente en los espacios de nombres prémium. Audit, Disabled 1.0.0

Service Fabric

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. Audit, Deny, Disabled 1.1.0
Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric Audit, Deny, Disabled 1.1.0

SignalR

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure SignalR Service debe deshabilitar el acceso a la red pública Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
Azure SignalR Service debe habilitar los registros de diagnóstico Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service debe tener deshabilitados los métodos de autenticación local. La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure SignalR Service requiera exclusivamente identidades de Azure Active Directory para la autenticación. Audit, Deny, Disabled 1.0.0
Azure SignalR Service debe usar una SKU habilitada para Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. Así se protegen sus recursos frente al riesgo de pérdida de datos públicos. La directiva establece límites en las SKU habilitadas mediante Private Link para Azure SignalR Service. Obtenga más información sobre Private Link en: https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.0
Azure SignalR Service debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Configuración Azure SignalR Service para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que Azure SignalR Service exija exclusivamente identidades de Azure Active Directory para la autenticación. Modificar, Deshabilitado 1.0.0
Configuración de puntos de conexión privados en Azure SignalR Service Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a recursos de Azure SignalR Service, puede reducir los riesgos de pérdida de datos. Obtenga más información en https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Implementación: configuración de zonas DNS privadas para conectar puntos de conexión privados a Azure SignalR Service Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el recurso de Azure SignalR Service. Más información en: https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Modificación de recursos de Azure SignalR Service para deshabilitar el acceso a la red pública Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.0

Site Recovery

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: configuración de almacenes de Azure Recovery Services para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los almacenes de Recovery Services. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de puntos de conexión privados en los almacenes de Azure Recovery Services Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de recuperación del sitio de los almacenes de Recovery Services, puede reducir los riesgos de pérdida de datos. Para usar vínculos privados, la identidad de servicio administrada debe asignarse a los almacenes de Recovery Services. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: [Versión preliminar]: los almacenes de Recovery Services deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Obtenga más información sobre los vínculos privados para Azure Site Recovery en https://aka.ms/HybridScenarios-PrivateLink y https://aka.ms/AzureToAzure-PrivateLink. Audit, Disabled 1.0.0-preview

SQL

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0
La auditoría de SQL Server debe estar habilitada La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 2.0.0
Se debe habilitar Azure Defender para SQL en los servidores de Azure SQL Server desprotegidos. Auditoría de los servidores de SQL sin Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2
Azure SQL Database should be running TLS version 1.2 or newer Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso a Azure SQL Database desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. Audit, Disabled, Deny 2.0.0
Azure SQL Database debe tener habilitada solo la autenticación de Azure Active Directory Deshabilitar los métodos de autenticación local y permitir solo la autenticación de Azure Active Directory mejora la seguridad, ya que garantiza que solo las identidades de Azure Active Directory de Azure puedan acceder a las instancias de Azure SQL Database. Obtenga más información en aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Azure SQL Managed Instance debe tener habilitada solo la autenticación de Azure Active Directory Deshabilitar los métodos de autenticación local y permitir solo la autenticación de Azure Active Directory mejora la seguridad, ya que garantiza que solo las identidades de Azure Active Directory puedan acceder a las instancias de Azure SQL Managed Instance. Obtenga más información en aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Azure SQL Managed Instances debería deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. Audit, Deny, Disabled 1.0.0
Configurar la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for MariaDB Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for MariaDB de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. DeployIfNotExists, Disabled 1.0.1
Configure la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for MySQL Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for MySQL de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. DeployIfNotExists, Disabled 1.0.1
Configure la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for PostgreSQL Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for PostgreSQL de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. DeployIfNotExists, Disabled 1.0.1
Configure las máquinas habilitadas para Arc que ejecutan SQL Server para que tengan instalada la extensión de SQL Server. Para asegurarse de que los recursos de SQL Server: Azure Arc se crean de manera predeterminada cuando la instancia de SQL Server se encuentra en Windows Server habilitado para Azure Arc, este último debe tener instalada la extensión de SQL Server y la identidad administrada del servidor debe configurarse con el rol de incorporación de Azure Connected SQL Server. DeployIfNotExists, Disabled 2.1.0
Configuración de Azure Defender para que se habilite en instancias de SQL Managed Instance Habilite Azure Defender en las instancias de Azure SQL Managed Instance para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. DeployIfNotExists, Disabled 2.0.0
Configuración de Azure Defender para que se habilite en servidores SQL Server Habilite Azure Defender en los servidores de Azure SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. DeployIfNotExists 2.1.0
Configurar los servidores de Azure SQL Database para el espacio de trabajo de Log Analytics Permite habilitar los registros de auditoría del servidor de Azure SQL Database y transmitir registros de diagnóstico a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Server en la que falte esta auditoría. DeployIfNotExists, Disabled 1.0.2
Configurar Azure SQL Server para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública se cierra la conectividad pública, de modo que solo se puede tener acceso a Azure SQL Server desde un punto de conexión privado. Esta configuración deshabilita el acceso a la red pública para todas las bases de datos de Azure SQL Server. Modificar, Deshabilitado 1.0.0
Configurar Azure SQL Server para habilitar conexiones de punto de conexión privado Una conexión de punto de conexión privado habilita la conectividad privada con Azure SQL Database a través de una dirección IP privada dentro de una red virtual. Esta configuración mejora su posición de seguridad y admite las herramientas y los escenarios de redes de Azure. DeployIfNotExists, Disabled 1.0.0
Configurar instancias de SQL Server para habilitar la auditoría Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. DeployIfNotExists, Disabled 3.0.0
Configuración de los servidores de SQL Server para que tengan habilitada la auditoría en el área de trabajo de Log Analytics Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. DeployIfNotExists, Disabled 1.0.0
La limitación de conexiones debe estar habilitada para los servidores de bases de datos PostgreSQL Esta directiva permite realizar una auditoría de las bases de datos de PostgreSQL del entorno sin la limitación de conexiones habilitada. Esta configuración habilita la limitación de conexiones temporales por IP si hay demasiados errores de inicio de sesión con una contraseña no válida. AuditIfNotExists, Disabled 1.0.0
Implementación: configuración de diagnóstico para instancias de SQL Database en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que las instancias de SQL Database transmitan los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Database en la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 4.0.0
Implementar Advanced Data Security en los servidores de SQL Server Esta directiva habilita Advanced Data Security en los servidores de SQL Server. Esta opción también habilita la detección de amenazas y la evaluación de vulnerabilidades. Asimismo, creará automáticamente una cuenta de almacenamiento en la misma región y grupo de recursos que el servidor de SQL Server, para así almacenar los resultados del análisis con un prefijo "sqlva". DeployIfNotExists 1.3.0
Implementar la configuración de diagnóstico para Azure SQL Database en el Centro de eventos Implementa la configuración de diagnóstico para que Azure SQL Database se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Azure SQL Database a la que falte esta configuración de diagnóstico. DeployIfNotExists 1.2.0
Implementar el cifrado de datos transparente de SQL Database Habilita el cifrado de datos transparente en bases de datos SQL. DeployIfNotExists, Disabled 2.1.0
Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL. Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections. AuditIfNotExists, Disabled 1.0.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for MySQL Habilite el cifrado de infraestructura para que los servidores de Azure Database for MySQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas de Microsoft compatibles con FIPS 140-2. Audit, Deny, Disabled 1.0.0
El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2. Audit, Deny, Disabled 1.0.0
Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints. AuditIfNotExists, Disabled 1.0.0
Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections. AuditIfNotExists, Disabled 1.0.0
La duración del registro debe estar habilitada para los servidores de bases de datos de PostgreSQL Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_duration. AuditIfNotExists, Disabled 1.0.0
La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. AuditIfNotExists, Disabled 2.0.0
El servidor MariaDB debe usar un punto de conexión del servicio de red virtual Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for MariaDB y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for MariaDB tiene un punto de conexión de servicio de red virtual que se está usando. AuditIfNotExists, Disabled 1.0.2
El servidor MySQL debe usar un punto de conexión de servicio de red virtual Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for MySQL y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for MySQL tiene un punto de conexión de servicio de red virtual que se está usando. AuditIfNotExists, Disabled 1.0.2
Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. AuditIfNotExists, Disabled 1.0.4
El servidor PostgreSQL debe usar un punto de conexión de servicio de red virtual Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for PostgreSQL y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for PostgreSQL tiene un punto de conexión de servicio de red virtual que se está usando. AuditIfNotExists, Disabled 1.0.2
Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. AuditIfNotExists, Disabled 1.0.4
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. Audit, Disabled 1.1.0
El punto de conexión privado debe estar habilitado para servidores MariaDB Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. AuditIfNotExists, Disabled 1.0.2
El punto de conexión privado debe estar habilitado para servidores MySQL Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. AuditIfNotExists, Disabled 1.0.2
El punto de conexión privado debe estar habilitado para servidores PostgreSQL Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. AuditIfNotExists, Disabled 1.0.2
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. Audit, Deny, Disabled 1.1.0
El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. Audit, Deny, Disabled 2.0.0
El acceso a las redes públicas debe estar deshabilitado para los servidores flexibles de MySQL Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a los servidores flexibles de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o en la red virtual. Audit, Deny, Disabled 2.0.0
El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. Audit, Deny, Disabled 2.0.0
El acceso a redes públicas debe estar deshabilitado para los servidores flexibles de PostgreSQL Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a los servidores flexibles de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o en la red virtual. Audit, Deny, Disabled 3.0.0
El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. Audit, Deny, Disabled 2.0.0
La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas La propiedad AuditActionsAndGroups debe contener al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantizar un registro de auditoría exhaustivo. AuditIfNotExists, Disabled 1.0.0
SQL Database debe evitar el uso de la redundancia de copia de seguridad con almacenamiento con redundancia geográfica Las bases de datos deben evitar el uso del almacenamiento con redundancia geográfica para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. Deny, Disabled 2.0.0
SQL Managed Instance debe tener la versión mínima de TLS 1.2 Si la versión mínima de TLS se establece en 1.2, la seguridad mejora al garantizar que solo se tenga acceso a SQL Managed Instance desde clientes que utilicen TLS 1.2. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. Audit, Disabled 1.0.1
Las instancias administradas de SQL deben evitar el uso de redundancia de copia de seguridad con almacenamiento con redundancia geográfica Las instancias administradas deben evitar el uso del almacenamiento con redundancia geográfica predeterminado para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. Deny, Disabled 2.0.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.1
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. AuditIfNotExists, Disabled 3.0.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0
La regla de firewall de redes virtuales de Azure SQL Database debe estar habilitada para permitir el tráfico de la subred especificada Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica a Azure SQL Database y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. AuditIfNotExists 1.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Storage

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: no se debe permitir el acceso público a la cuenta de almacenamiento El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. audit, Audit, deny, Deny, disabled, Disabled 3.1.0: versión preliminar
Azure File Sync debe usar Private Link Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. AuditIfNotExists, Disabled 1.0.0
Los volúmenes SMB de Azure NetApp Files deben usar cifrado SMB3 No permitir la creación de volúmenes SMB sin cifrado SMB3 para garantizar la integridad y la privacidad de los datos. Audit, Deny, Disabled 1.0.0
Los volúmenes de Azure NetApp Files de tipo NFSv4.1 deben usar el cifrado de datos Kerberos Permitir solo el uso del modo de seguridad de privacidad Kerberos (5p) para garantizar el cifrado de los datos. Audit, Deny, Disabled 1.0.0
Volúmenes de Azure NetApp Files de tipo NFSv4.1 deben usar la integridad de los datos Kerberos o la privacidad de los datos Asegúrese de que se selecciona al menos la integridad Kerberos (krb5i) o la privacidad Kerberos (krb5p) para garantizar la integridad y la privacidad de los datos. Audit, Deny, Disabled 1.0.0
Los volúmenes de Azure NetApp Files no debe usar el tipo de protocolo NFSv3 No permitir el uso del tipo de protocolo NFSv3 para evitar el acceso no seguro a los volúmenes. Se debe usar NFSv4.1 con el protocolo Kerberos para acceder a volúmenes NFS con el fin de garantizar la integridad y el cifrado de los datos. Audit, Deny, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para blob groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para blob_secondary groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob_secondary groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para dfs groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para dfs_secondary groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs_secondary groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para file groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado file groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para queue groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para queue_secondary groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue_secondary groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para table groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para table_secondary groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table_secondary groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para web groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web groupID. DeployIfNotExists, Disabled 1.0.0
Configuración de un identificador de zona DNS privada para web_secondary groupID Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web_secondary groupID. DeployIfNotExists, Disabled 1.0.0
Configurar Azure File Sync para usar zonas DNS privadas Para tener acceso a los puntos de conexión privados de las interfaces de recursos del servicio de sincronización de almacenamiento desde un servidor registrado, debe configurar DNS para resolver los nombres correctos en las direcciones IP privadas del punto de conexión privado. Esta directiva crea la zona de DNS privado de Azure y los registros A necesarios para las interfaces de los puntos de conexión privados del servicio de sincronización de almacenamiento. DeployIfNotExists, Disabled 1.1.0
Configurar Azure File Sync con puntos de conexión privados Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. DeployIfNotExists, Disabled 1.0.0
Configurar ajustes de diagnóstico para Blob Services en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Blob Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Blob Service a la que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los servicios de archivos en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Servicios de archivo para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de archivos al que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los servicios de cola en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para los servicios de cola para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de cola al que le falta esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Establecer la configuración de diagnóstico de las cuentas de almacenamiento en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de las Cuentas de almacenamiento para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier cuenta de almacenamiento a la que falte dicha configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los Servicios de tablas en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de los Servicios de tablas para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia del Servicio de tablas a la que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configuración de la transferencia segura de datos en una cuenta de almacenamiento La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Modificar, Deshabilitado 1.0.0
Configurar la cuenta de almacenamiento para usar una conexión de vínculo privado Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. DeployIfNotExists, Disabled 1.0.0
Configuración de las cuentas de almacenamiento para deshabilitar el acceso desde la red pública Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.1
Configurar el acceso público de la cuenta de almacenamiento para que no esté permitido El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. Modificar, Deshabilitado 1.0.0
Implementar Advanced Threat Protection en las cuentas de almacenamiento Esta directiva habilita Advanced Threat Protection en las cuentas de almacenamiento. DeployIfNotExists, Disabled 1.0.0
El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. Audit, Disabled 1.0.0
Las cuentas de HPC Cache deben usar la clave administrada por el cliente para el cifrado Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Disabled, Deny 2.0.0
Modificación: configurar Azure File Sync para deshabilitar el acceso a la red pública La directiva de la organización deshabilita el punto de conexión público accesible a Internet de Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. Modificar, Deshabilitado 1.0.0
El acceso a las redes públicas debe estar deshabilitado para Azure File Sync Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0
Queue Storage debería usar la clave administrada por el cliente para el cifrado Proteja su instancia de Queue Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Deny, Disabled 1.0.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Los ámbitos de cifrado de la cuenta de almacenamiento deben usar el cifrado doble para los datos en reposo. Habilite el cifrado de infraestructura para el cifrado en reposo de los ámbitos de cifrado de la cuenta de almacenamiento para mayor seguridad. El cifrado de infraestructura garantiza que los datos se cifren dos veces. Audit, Deny, Disabled 1.0.0
Las claves de la cuenta de almacenamiento no deben haber expirado Asegúrese de que las claves de la cuenta de almacenamiento del usuario no hayan expirado cuando la directiva de expiración de claves esté establecida; con el fin de mejorar la seguridad de las claves de cuenta, adopte medidas cuando estas expiren. Audit, Deny, Disabled 3.0.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento se deben limitar por SKU permitidas Restrinja el conjunto de SKU de cuenta de almacenamiento que la organización puede implementar. Audit, Deny, Disabled 1.1.0
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben deshabilitar el acceso desde la red pública Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.1
Las cuentas de almacenamiento deben tener un cifrado de infraestructura Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben tener configuradas directivas de firma de acceso compartido (SAS) Asegúrese de que las cuentas de almacenamiento tengan habilitada la directiva de expiración de firma de acceso compartido (SAS). Los usuarios utilizan una SAS para delegar el acceso a los recursos de la cuenta de Azure Storage. Además, la directiva de expiración de SAS recomienda un límite de expiración superior cuando un usuario crea un token de SAS. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben tener la versión mínima de TLS especificada Configure una versión mínima de TLS para la comunicación segura entre la aplicación cliente y la cuenta de almacenamiento. Para minimizar el riesgo de seguridad, la versión mínima recomendada de TLS es la versión más reciente publicada, que actualmente es TLS 1.2. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben evitar la replicación de objetos entre inquilinos Realice una auditoría de la restricción de replicación de objetos de la cuenta de almacenamiento. De manera predeterminada, los usuarios pueden configurar la replicación de objetos con una cuenta de almacenamiento de origen en un inquilino de Azure AD y una cuenta de destino en un inquilino diferente. Se trata de un problema de seguridad porque los datos del cliente se pueden replicar en una cuenta de almacenamiento propiedad del cliente. Al establecer el valor de allowCrossTenantReplication en false, la replicación de objetos solo se puede configurar si las cuentas de origen y de destino están en el mismo inquilino de Azure AD. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben evitar el acceso a claves compartidas Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso a través de la clave compartida y es el que Microsoft recomienda. Audit, Deny, Disabled 1.0.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. Audit, Deny, Disabled 1.0.1
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado. Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Disabled 1.0.3
Las cuentas de almacenamiento deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Table Storage debería usar una clave administrada por el cliente para el cifrado Proteja su instancia de Table Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Deny, Disabled 1.0.0

Stream Analytics

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los trabajos de Azure Stream Analytics deben usar claves administradas por el cliente para cifrar los datos Use las claves administradas por el cliente cuando quiera almacenar de forma segura los recursos de datos privados y los metadatos de sus trabajos de Stream Analytics en la cuenta de almacenamiento. De esta forma, dispondrá de un control total sobre la forma en que se cifran los datos de Stream Analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los registros de recursos de Azure Stream Analytics deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
El trabajo de Stream Analytics debe conectarse a entradas y salidas de confianza Asegúrese de que los trabajos de Stream Analytics no tienen conexiones de entrada o salida arbitrarias que no estén definidas en la lista de permitidos. Esto comprueba que los trabajos de Stream Analytics no filtran datos mediante la conexión a receptores arbitrarios fuera de la organización. Deny, Disabled, Audit 1.1.0
El trabajo de Stream Analytics debe usar la identidad administrada para autenticar los puntos de conexión Asegúrese de que los trabajos de Stream Analytics solo se conectan a los puntos finales utilizando la autenticación de identidad administrada. Deny, Disabled, Audit 1.0.0

Synapse

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar la auditoría en el área de trabajo de Synapse La auditoría en el área de trabajo de Synapse debe estar habilitada para realizar el seguimiento de las actividades de todas las bases de datos de los grupos de SQL dedicados y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 1.0.0
El área de trabajo de Azure Synapse de SQL Server debe ejecutar TLS versión 1.2 o posterior Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso al servidor de SQL del área de trabajo de Azure Synapse desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Synapse deben permitir el tráfico de datos de salida únicamente a destinos aprobados. Permita el tráfico de datos de salida únicamente a destinos aprobados para aumentar la seguridad del área de trabajo de Synapse. Esto ayuda a evitar la exfiltración de datos mediante la validación del destino antes de enviar los datos. Audit, Disabled, Deny 1.0.0
Las áreas de trabajo de Azure Synapse deberían deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Synapse no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las áreas de trabajo de Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Synapse deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Configuración de la versión mínima de TLS del área de trabajo dedicada de Azure Synapse de SQL Server Los clientes pueden generar o reducir la versión mínima de TLS mediante la API, tanto para las nuevas áreas de trabajo de Synapse como para las áreas de trabajo existentes. De este modo, los usuarios que tengan que usar una versión de cliente inferior en las áreas de trabajo puedan conectarse, mientras que los usuarios que tengan requisitos de seguridad puedan aumentar la versión mínima de TLS. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modificar, Deshabilitado 1.0.0
Configurar las áreas de trabajo de Azure Synapse para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública del área de trabajo de Synapse de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modificar, Deshabilitado 1.0.0
Configurar las áreas de trabajo de Azure Synapse para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver las áreas de trabajo de Azure Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Configurar las áreas de trabajo de Azure Synapse con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a las áreas de trabajo de Azure Synapse, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Disabled 1.0.0
Configurar las áreas de trabajo de Synapse para habilitar la auditoría Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. DeployIfNotExists, Disabled 2.0.0
Configuración de las áreas de trabajo para que tengan habilitada la auditoría en el área de trabajo de Log Analytics Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. DeployIfNotExists, Disabled 1.0.0
Se deben quitar las reglas de firewall de IP en las áreas de trabajo de Azure Synapse. La eliminación de todas las reglas de firewall de IP mejora la seguridad al garantizar que solo se puede acceder a su área de trabajo de Azure Synapse desde un punto de conexión privado. Esta configuración audita la creación de reglas de firewall que permiten el acceso a la red pública en el área de trabajo. Audit, Disabled 1.0.0
La red virtual del área de trabajo administrada en las áreas de trabajo de Azure Synapse debe estar habilitada. La habilitación de una red virtual en el área de trabajo administrada garantiza el aislamiento por red de esta última respecto a las demás. La integración de datos y los recursos de Spark implementados en esta red virtual también proporcionan aislamiento de nivel de usuario para las actividades de Spark. Audit, Deny, Disabled 1.0.0
Los puntos de conexión privados que administra Synapse solo deben conectarse a recursos de inquilinos aprobados de Azure Active Directory Proteja su área de trabajo de Synapse. Para ello, permita solo conexiones a los recursos de los inquilinos de Azure Active Directory (Azure AD) aprobados. Los inquilinos de Azure AD aprobados se pueden definir durante la asignación de la directiva. Audit, Disabled, Deny 1.0.0
La configuración de auditoría del área de trabajo de Synapse debe tener grupos de acciones configurados para capturar actividades críticas Para asegurarse de que los registros de auditoría son lo más exhaustivos posible, la propiedad AuditActionsAndGroups debe incluir todos los grupos pertinentes. Se recomienda agregar al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP y BATCH_COMPLETED_GROUP. A veces, es necesario para cumplir con los estándares normativos. AuditIfNotExists, Disabled 1.0.0
Las áreas de trabajo de Synapse con auditoría de SQL en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL del área de trabajo de Synapse en la cuenta de almacenamiento de destino en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. AuditIfNotExists, Disabled 1.0.0

Etiquetas

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una etiqueta a los grupos de recursos Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Agregar una etiqueta a los recursos Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. No modifica las etiquetas de los grupos de recursos. modify 1.0.0
Agregar una etiqueta a las suscripciones Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. modify 1.0.0
Agregar o reemplazar una etiqueta en los grupos de recursos Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Agregar o reemplazar una etiqueta en los recursos Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier recurso. Los recursos existentes se pueden corregir con una tarea de corrección. No modifica las etiquetas de los grupos de recursos. modify 1.0.0
Agregar o reemplazar una etiqueta en las suscripciones Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. modify 1.0.0
Anexar una etiqueta y su valor desde el grupo de recursos Anexa la etiqueta especificada y su valor del grupo de recursos cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.0
Anexar una etiqueta y su valor a los grupos de recursos Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.0
Anexar una etiqueta y su valor a los recursos Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. No se aplica a los grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.1
Heredar una etiqueta del grupo de recursos Agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Heredar una etiqueta del grupo de recursos si falta Agrega la etiqueta especificada y su valor del grupo de recursos primario cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Heredar una etiqueta de la suscripción Agrega o reemplaza la etiqueta y el valor especificados de la suscripción contenedora cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Heredar una etiqueta de la suscripción si falta Agrega la etiqueta especificada y su valor en la suscripción contenedora cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Requerir una etiqueta y su valor en los grupos de recursos Aplica una etiqueta obligatoria y su valor en los grupos de recursos. deny 1.0.0
Requerir una etiqueta y su valor en los recursos Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos. deny 1.0.1
Solicitar una etiqueta en los grupos de recursos Requiere que se use una etiqueta en los grupos de recursos. deny 1.0.0
Solicitar una etiqueta en los recursos Requiere que haya una etiqueta. No se aplica a los grupos de recursos. deny 1.0.1

Centro de Update Management

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Configuración de la comprobación periódica de las actualizaciones del sistema faltantes en servidores habilitados para Azure Arc Configure la evaluación automática (cada 24 horas) de actualizaciones del sistema operativo en servidores habilitados para Azure Arc. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 1.1.0-preview
[Vista previa]: Configuración de la comprobación periódica de actualizaciones del sistema faltantes en máquinas virtuales de Azure Configure la evaluación automática (cada 24 horas) para las actualizaciones del sistema operativo en máquinas virtuales nativas de Azure. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.0.0-preview
[Vista previa]: Las máquinas deben configurarse para comprobar periódicamente si faltan actualizaciones del sistema Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: [versión preliminar]: Programar actualizaciones periódicas mediante Update Management Center Puede usar el Centro de administración de actualizaciones (versión preliminar privada) en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo para las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos en la nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a «AutomaticByPlatform». Más información: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 1.0.0-preview

Video Analyzers

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Video Analyzer deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de las cuentas de Video Analyzer. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/videoanalyzerscmkdocs. Audit, Deny, Disabled 1.0.0

Generador de imágenes de máquina virtual

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las plantillas de VM Image Builder deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Web PubSub

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El servicio de Azure Web PubSub debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que el servicio Azure Web PubSub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Azure Web PubSub. Más información en: https://aka.ms/awps/networkacls. Audit, Deny, Disabled 1.0.0
El servicio Azure Web PubSub debe habilitar los registros de diagnóstico Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 1.0.0
El servicio Azure Web PubSub debe usar una SKU que sea compatible con un vínculo privado Con una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. Audit, Deny, Disabled 1.0.0
El servicio Azure Web PubSub debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Configurar el servicio Azure Web PubSub para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Azure Web PubSub de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/awps/networkacls. Modificar, Deshabilitado 1.0.0
Configurar el servicio Azure Web PubSub para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el servicio de Azure Web PubSub. Más información en: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0
Configurar el servicio Azure Web PubSub con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0

Pasos siguientes