Compartir a través de


Línea base de seguridad de Azure para Virtual Machines: Windows Virtual Machines

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Virtual Machines: Windows Virtual Machines. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Virtual Machines: Windows Virtual Machines.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Características no aplicables a Virtual Machines: se han excluido las Virtual Machines de Windows. Para ver cómo Virtual Machines: Windows Virtual Machines se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad Virtual Machines Windows Virtual Machines.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Virtual Machines: Windows Virtual Machines, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Compute
El cliente puede acceder a HOST/OS. Acceso total
El servicio se puede implementar en la red virtual del cliente. True
Almacena contenido de cliente en reposo True

Seguridad de las redes

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Redes virtuales y máquinas virtuales en Azure

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.

Al crear una máquina virtual de Azure, debe crear una red virtual o usar una red virtual existente y configurar la máquina virtual con una subred. Asegúrese de que todas las subredes implementadas tienen un grupo de seguridad de red aplicado con controles de acceso a la red específicos para los puertos y orígenes de confianza de sus aplicaciones.

Referencia: Grupos de seguridad de red

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0

NS-2: Servicios en la nube seguros con controles de red

Características

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use servicios en el nivel de sistema operativo, como Windows Defender Firewall, para proporcionar filtrado de red para deshabilitar el acceso público.

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD, incluido el sin contraseña

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: una cuenta de administrador local se crea de forma predeterminada durante la implementación inicial de la máquina virtual. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: la máquina virtual Windows suele aprovechar la identidad administrada para autenticarse en otros servicios. Si la máquina virtual Windows admite la autenticación de Azure AD, es posible que se admita la identidad administrada.

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio cuando sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: las aplicaciones que se ejecutan en la máquina virtual Windows pueden usar las entidades de servicio.

Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: use Azure AD como plataforma de autenticación principal para RDP en Windows Server 2019 Datacenter Edition y versiones posteriores, o Windows 10 1809 y versiones posteriores. Luego, puede controlar y aplicar de forma centralizada el control de acceso basado en roles (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.

Referencia: Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD, incluido el sin contraseña

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: dentro del plano de datos o del sistema operativo, los servicios pueden llamar a Azure Key Vault para obtener credenciales o secretos.

Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de Administración locales

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Inicio rápido: Creación de una máquina virtual Windows en la Azure Portal

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: use Azure AD como plataforma de autenticación principal para RDP en Windows Server 2019 Datacenter Edition y versiones posteriores, o Windows 10 1809 y versiones posteriores. Luego, puede controlar y aplicar de forma centralizada el control de acceso basado en roles (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.

Guía de configuración: con RBAC, especifique quién puede iniciar sesión en una máquina virtual como usuario normal o con privilegios de administrador. Cuando se unan usuarios al equipo, puede actualizar la directiva de RBAC de Azure de la máquina virtual para conceder acceso según corresponda. Cuando los empleados dejan la organización y su cuenta de usuario se deshabilita o se quita de Azure AD, dejan de tener acceso a los recursos.

Referencia: Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD, incluido el sin contraseña

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.

Protección de los datos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: determinados protocolos de comunicación, como SSH, se cifran de forma predeterminada. Sin embargo, otros servicios como HTTP deben configurarse para usar TLS para el cifrado.

Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Referencia: Cifrado en tránsito en máquinas virtuales

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones a través de una red mediante el cifrado de una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: de forma predeterminada, los discos administrados usan claves de cifrado administradas por la plataforma. Todos los discos administrados, instantáneas e imágenes, así como los datos nuevos que se escriban en discos administrados existentes, se cifran automáticamente en reposo con claves administradas por la plataforma.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Cifrado del lado servidor de Azure Disk Storage: claves administradas por la plataforma

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. De forma predeterminada, los discos de datos y del sistema operativo de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0-preview

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: puede elegir administrar el cifrado en el nivel de cada disco administrado, con sus propias claves. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves administradas por el cliente ofrecen más flexibilidad para administrar controles de acceso.

Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Los discos virtuales de Virtual Machines (VM) se cifran en reposo mediante el cifrado del lado servidor o el cifrado de disco de Azure (ADE). Azure Disk Encryption aprovecha la característica BitLocker de Windows para cifrar los discos administrados con claves administradas por el cliente dentro de la máquina virtual invitada. El cifrado del lado servidor con claves administradas por el cliente mejora en ADE al permitir el uso de cualquier tipo de sistema operativo y de imágenes para las máquinas virtuales mediante el cifrado de datos en el servicio Storage.

Referencia: Cifrado del lado servidor de Azure Disk Storage

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.

Referencia: Creación y configuración de un almacén de claves para Azure Disk Encryption en una máquina virtual Windows

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: Azure Policy se puede usar para definir el comportamiento deseado para las máquinas virtuales Windows y las máquinas virtuales Linux de la organización. Mediante el uso de directivas, una organización puede aplicar varias convenciones y reglas en toda la empresa y definir e implementar configuraciones de seguridad estándar para Azure Virtual Machines. La aplicación del comportamiento deseado puede ayudar a reducir el riesgo a la vez que se contribuye al éxito de la organización.

Referencia: Azure Policy definiciones integradas para Azure Virtual Machines

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual

Características

Microsoft Defender for Cloud: controles de aplicación adaptables

Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicación adaptables en Microsoft Defender for Cloud. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Microsoft Defender para los controles de aplicaciones adaptables en la nube para detectar aplicaciones que se ejecutan en máquinas virtuales (VM) y generar una lista de aplicaciones permitidas para exigir qué aplicaciones aprobadas se pueden ejecutar en el entorno de máquina virtual.

Referencia: Uso de controles de aplicación adaptables para reducir las superficies expuestas a ataques de las máquinas

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: Defender for Servers amplía la protección a las máquinas Windows y Linux que se ejecutan en Azure. Defender para servidores se integra con Microsoft Defender para punto de conexión para proporcionar detección y respuesta de puntos de conexión (EDR) y también proporciona una serie de características adicionales de protección contra amenazas, como líneas base de seguridad y evaluaciones de nivel de sistema operativo, análisis de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de integridad de archivos (FIM) y mucho más.

Referencia: Planeamiento de la implementación de Defender for Servers

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 2.0.0

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: Azure Monitor comienza a recopilar automáticamente datos de métricas para el host de máquina virtual al crear la máquina virtual. Sin embargo, para recopilar registros y datos de rendimiento del sistema operativo invitado de la máquina virtual, debe instalar el agente de Azure Monitor. Puede instalar el agente y configurar la recopilación mediante VM Insights o mediante la creación de una regla de recopilación de datos.

Referencia: Introducción al agente de Log Analytics

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview

Posición y administración de vulnerabilidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.

PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso

Características

State Configuration de Azure Automation

Descripción: Azure Automation State Configuration se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Azure Automation State Configuration para mantener la configuración de seguridad del sistema operativo.

Referencia: Configuración de una máquina virtual con Desired State Configuration

Agente de configuración de invitado de Azure Policy

Descripción: Azure Policy agente de configuración de invitado se puede instalar o implementar como una extensión para calcular recursos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: Azure Policy configuración de invitado ahora se denomina Configuración de máquina de Azure Automanage.

Guía de configuración: use Microsoft Defender for Cloud y Azure Policy agente de configuración de invitado para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.

Referencia: Descripción de la característica de configuración de la máquina de Azure Automanage

Imágenes de máquina virtual personalizadas

Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use una imagen protegida preconfigurada de un proveedor de confianza, como Microsoft, o cree una línea base de configuración segura deseada en la plantilla de imagen de máquina virtual.

Referencia: Tutorial: Creación de imágenes de máquina virtual Windows con Azure PowerShell

PV-4: Auditoría y aplicación de configuraciones seguras para los recursos de proceso

Características

Máquina virtual de inicio seguro

Descripción: El inicio seguro protege contra técnicas de ataque avanzadas y persistentes mediante la combinación de tecnologías de infraestructura como el arranque seguro, vTPM y la supervisión de integridad. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas. El inicio seguro permite la implementación segura de máquinas virtuales con cargadores de arranque comprobados, kernels del sistema operativo y controladores, y protege de forma segura claves, certificados y secretos en las máquinas virtuales. El inicio seguro también proporciona información y confianza de la integridad de toda la cadena de arranque y garantiza que las cargas de trabajo sean de confianza y verificables. El inicio de confianza se integra con Microsoft Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente, ya que la máquina virtual de atestación remota se inicia de forma correcta. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Nota de características: El inicio seguro está disponible para máquinas virtuales de generación 2. El inicio seguro requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Guía de configuración: se puede habilitar el inicio de confianza durante la implementación de la máquina virtual. Habilite las tres: arranque seguro, vTPM y supervisión de arranque de integridad para garantizar la mejor posición de seguridad para la máquina virtual. Tenga en cuenta que hay algunos requisitos previos, incluida la incorporación de la suscripción a Microsoft Defender for Cloud, la asignación de determinadas iniciativas de Azure Policy y la configuración de directivas de firewall.

Referencia: Implementación de una máquina virtual con el inicio de confianza habilitado

PV-5: Realización de evaluaciones de vulnerabilidades

Características

Evaluación de vulnerabilidades mediante Microsoft Defender

Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender para la nube u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios Microsoft Defender (incluidos Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure.

Referencia: Planeamiento de la implementación de Defender for Servers

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0

PV-6: Reparación rápida y automática de vulnerabilidades

Características

Update Management en Azure Automation

Descripción: el servicio puede usar Azure Automation Update Management para implementar revisiones y actualizaciones automáticamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Azure Automation Update Management o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.

Referencia: Administración de actualizaciones y revisiones para las máquinas virtuales

Azure Guest Patching Service

Descripción: el servicio puede usar azure Guest Patching para implementar revisiones y actualizaciones automáticamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: los servicios pueden aprovechar los diferentes mecanismos de actualización, como actualizaciones automáticas de imágenes del sistema operativo y aplicación de revisiones automáticas de invitado. Las funcionalidades se recomiendan para aplicar las actualizaciones críticas y de seguridad más recientes al sistema operativo invitado de la máquina virtual siguiendo los principios de implementación segura.

La aplicación automática de revisiones de invitado permite evaluar y actualizar automáticamente las máquinas virtuales de Azure para mantener el cumplimiento de la seguridad con las actualizaciones críticas y de seguridad publicadas cada mes. Novedades se aplican durante las horas de poca actividad, incluidas las máquinas virtuales dentro de un conjunto de disponibilidad. Esta funcionalidad está disponible para la orquestación flexible de VMSS, con compatibilidad futura en la hoja de ruta para la orquestación uniforme.

Si ejecuta una carga de trabajo sin estado, las actualizaciones automáticas de imágenes del sistema operativo son ideales para aplicar la actualización más reciente para el uniforme de VMSS. Con la funcionalidad de reversión, estas actualizaciones son compatibles con Marketplace o imágenes personalizadas. Compatibilidad futura con la actualización gradual en la hoja de ruta para la orquestación flexible.

Referencia: Aplicación automática de revisiones de invitado de máquina virtual para máquinas virtuales de Azure

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Preview]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. AuditIfNotExists, Disabled 1.0.0-preview

Seguridad de punto de conexión

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Características

Solución EDR

Descripción: la característica detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: Azure Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender for Cloud para implementar Azure Defender para servidores para el punto de conexión e integrar las alertas en la solución SIEM, como Azure Sentinel.

Referencia: Planeamiento de la implementación de Defender for Servers

ES-2: Uso de software antimalware moderno

Características

Solución antimalware

Descripción: característica antimalware, como Microsoft Defender Antivirus, Microsoft Defender para punto de conexión se puede implementar en el punto de conexión. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: para Windows Server 2016 y versiones posteriores, Microsoft Defender para antivirus está instalado de forma predeterminada. Para Windows Server 2012 R2 y versiones posteriores, los clientes pueden instalar SCEP (System Center Endpoint Protection). Como alternativa, los clientes también tienen la opción de instalar productos antimalware de terceros.

Referencia: Incorporación de Windows Server de Defender para punto de conexión

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Características

Supervisión del estado de la solución antimalware

Descripción: la solución antimalware proporciona supervisión del estado de mantenimiento para las actualizaciones automáticas de firma, motor y plataforma. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: La inteligencia de seguridad y las actualizaciones de productos se aplican a Defender para punto de conexión que se puede instalar en las máquinas virtuales Windows.

Guía de configuración: configure la solución antimalware para asegurarse de que la plataforma, el motor y las firmas se actualizan de forma rápida y coherente y su estado se puede supervisar.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: habilite Azure Backup y configure el origen de copia de seguridad (como Azure Virtual Machines, SQL Server, bases de datos de HANA o recursos compartidos de archivos) con una frecuencia deseada y con un período de retención deseado. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.

Referencia: Opciones de copia de seguridad y restauración para máquinas virtuales en Azure

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0

Pasos siguientes