Controles de Cumplimiento normativo de Azure Policy para Azure App Service
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativa creadas y administradas por Microsoft, conocidas como integradas, para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure App Service. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
Australian Government ISM PROTECTED
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Instrucciones para la criptografía: Seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Instrucciones para la criptografía: seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Instrucciones para la administración del sistema: administración del sistema | 1386 | Restricción de flujos de tráfico de administración: 1386 | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Instrucciones para la administración del sistema: administración del sistema | 1386 | Restricción de flujos de tráfico de administración: 1386 | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Instrucciones para el desarrollo de software: desarrollo de aplicaciones web | 1424 | Controles de seguridad basados en explorador web: 1424 | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Instrucciones para el desarrollo de software: desarrollo de aplicaciones web | 1552 | Interacciones de aplicaciones web: 1552 | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Instrucciones para el desarrollo de software: desarrollo de aplicaciones web | 1552 | Interacciones de aplicaciones web: 1552 | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
Canada Federal PBMM
Para revisar cómo las integraciones de Azure Policy disponibles de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte Canada Federal PBMM.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Control de acceso | AC-17(1) | Acceso remoto | Control y supervisión automatizados | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17(1) | Acceso remoto | Control y supervisión automatizados | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-8(1) | Integridad y confidencialidad de la transmisión | Protección criptográfica o protección física alternativa | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC-8(1) | Integridad y confidencialidad de la transmisión | Protección criptográfica o protección física alternativa | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Las aplicaciones de App Service deben tener activada la autenticación | 2.0.1 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Las aplicaciones de funciones deben tener habilitada la autenticación | 3.0.0 |
| 9 AppService | 9.10 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| 9 AppService | 9.10 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Las aplicaciones de App Service deben tener activada la autenticación | 2.0.1 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Las aplicaciones de funciones deben tener habilitada la autenticación | 3.0.0 |
| 9 AppService | 9.10 | Asegúrese de que las implementaciones de FTP estén deshabilitadas | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| 9 AppService | 9.10 | Asegúrese de que las implementaciones de FTP estén deshabilitadas | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| 9 AppService | 9.9 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| 9 AppService | 9.9 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| 9 AppService | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Las aplicaciones de App Service deben tener activada la autenticación | 2.0.1 |
| 9 AppService | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Las aplicaciones de funciones deben tener habilitada la autenticación | 3.0.0 |
| 9 AppService | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| 9 AppService | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| 9 AppService | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 9 AppService | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| 9 AppService | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| 9 AppService | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| 9 | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Las aplicaciones de App Service deben tener activada la autenticación | 2.0.1 |
| 9 | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Las aplicaciones de funciones deben tener habilitada la autenticación | 3.0.0 |
| 9 | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| 9 | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| 9 | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 9 | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| 9 | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| 9 | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | [en desuso]: Las aplicaciones de App Service deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| 9 | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| 9 | 9,6 | Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web | Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada. | 1.0.0 |
| 9 | 9,6 | Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | 3.2.0 |
| 9 | 9.7 | Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web | Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada. | 1.0.0 |
| 9 | 9.7 | Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | 4.1.0 |
| 9 | 9.8 | Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web | Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada. | 1.0.0 |
| 9 | 9.8 | Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| 9 | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| 9 | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Identificación y autenticación | IA.3.084 | Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Identificación y autenticación | IA.3.084 | Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Identificación y autenticación | IA.3.084 | Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Identificación y autenticación | IA.3.084 | Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.185 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.185 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.185 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.185 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.190 | Protege la autenticidad de las sesiones de comunicaciones. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.190 | Protege la autenticidad de las sesiones de comunicaciones. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.190 | Protege la autenticidad de las sesiones de comunicaciones. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.190 | Protege la autenticidad de las sesiones de comunicaciones. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-2 | Administración de cuentas | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Control de acceso | AC-17 | Acceso remoto | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 | Acceso remoto | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 (1) | Supervisión y control automatizados | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 (1) | Supervisión y control automatizados | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | 1.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Identificación de riesgos relacionados con entidades externas | 1402.05i1Organizational.45 - 05.i | Las conexiones de acceso remoto entre la organización y las entidades externas se cifran. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Identificación de riesgos relacionados con entidades externas | 1403.05i1Organizational.67 - 05.i | El acceso concedido a entidades externas se limita al mínimo necesario y únicamente se concede por el tiempo necesario. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 06 Administración de la configuración | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 Intercambio de información | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Protección de red | 0805.01m1Organizational.12-01 - 01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| Protección de red | 0806.01m2Organizational.12356-01 - 01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| 09 Protección de transmisiones | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| 09 Protección de transmisiones | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| 09 Protección de transmisiones | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 Intercambio de información | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| 09 Protección de transmisiones | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 Intercambio de información | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| 09 Protección de transmisiones | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| 09 Protección de transmisiones | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| 09 Protección de transmisión | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| 09 Protección de transmisiones | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| 09 Protección de transmisión | 0960.09sCSPOrganizational.1-09.s | 0960.09sCSPOrganizational.1-09.s 09.08 Intercambio de información | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| 11 Control de acceso | 1194.01l2Organizational.2-01.l | 1194.01l2Organizational.2-01.l 01.04 Control de acceso a redes | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| 11 Control de acceso | 1195.01l3Organizational.1-01.l | 1195.01l3Organizational.1-01.l 01.04 Control de acceso a redes | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| 12 Registros de auditoría y supervisión | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 Supervisión | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
IRS 1075, septiembre de 2016
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 9.3.1.12 | Acceso remoto (AC-17) | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 9.3.1.12 | Acceso remoto (AC-17) | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 9.3.1.4 | Aplicación del flujo de información (AC-4) | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Protección del sistema y de las comunicaciones | 9.3.16.6 | Integridad y confidencialidad de la transmisión (SC-8) | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | 9.3.16.6 | Integridad y confidencialidad de la transmisión (SC-8) | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
ISO 27001:2013
Si desea ver la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-8 | Detección y deshabilitación de protocolos y servicios no seguros | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Seguridad de red | NS-8 | Detección y deshabilitación de protocolos y servicios no seguros | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Administración de identidades | IM-3 | Administración de identidades de aplicaciones de forma segura y automática | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Administración de identidades | IM-3 | Administración de identidades de aplicaciones de forma segura y automática | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| registro y detección de amenazas | LT-3 | Habilitación del registro para la investigación de seguridad | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.5 | Evite la reutilización de identificadores durante un período definido. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.5 | Evite la reutilización de identificadores durante un período definido. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.6 | Deshabilitar los identificadores después de un período definido de inactividad. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | 3.5.6 | Deshabilitar los identificadores después de un período definido de inactividad. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-2 | Administración de cuentas | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Control de acceso | AC-17 | Acceso remoto | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 | Acceso remoto | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 (1) | Supervisión y control automatizados | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Control de acceso | AC-17 (1) | Supervisión y control automatizados | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Administración de la configuración | CM-6 | Valores de configuración | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisiones | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI-2 (6) | Eliminación de versiones anteriores de software o firmware | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Integridad del sistema y de la información | SI-2 (6) | Eliminación de versiones anteriores de software o firmware | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | 3.2.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | 4.1.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | 4.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | 3.2.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | 4.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | 4.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | 3.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | 4.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | 3.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | 4.1.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | App Service Environment debe tener habilitado el cifrado interno | 1.0.1 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y ha sido implementado. | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y ha sido implementado. | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| U.11.1 Cryptoservices: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| U.11.1 Cryptoservices: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| U.11.1 Cryptoservices: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| U.11.2 Criptoservicios: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| U.11.2 Criptoservicios: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Registro y supervisión de U.15.1: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
PCI DSS 3.2.1
Para revisar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte PCI DSS 3.2.1. Para más información sobre este estándar de cumplimiento, consulte PCI DSS 3.2.1.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Requisito 3 | 3.4 | Requisito 3.4 de PCI DSS | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Requisito 3 | 3.4 | Requisito 3.4 de PCI DSS | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Requisito 4 | 4,1 | Requisito 4.1 de PCI DSS | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Requisito 4 | 4,1 | Requisito 4.1 de PCI DSS | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Requisito 6 | 6.5.3 | Requisito 6.5.3 de PCI DSS | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Requisito 6 | 6.5.3 | Requisito 6.5.3 de PCI DSS | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
PCI DSS v4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy de PCI DSS v4.0. Para más información sobre este estándar de cumplimiento, vea PCI DSS v4.0.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.4 | El software personalizado y a medida se desarrolla de forma segura | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.4 | El software personalizado y a medida se desarrolla de forma segura | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.1 | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso | |
| Administración y seguridad de red | Administración de configuración de dispositivos de red-4.3 | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 | |
| Administración y seguridad de red | Administración de la configuración de dispositivos de red-4.3 | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 | |
| Configuración de registro de auditoría | Configuración de registro de auditoría-17.1 | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 | |
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.1 | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 | |
| Administración o control de acceso de usuarios | Administración o control de acceso de usuarios-8.4 | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 | |
| Administración y seguridad de red | Administración de la configuración de dispositivos de red-4.3 | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 | |
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.1 | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 | |
| Administración o control de acceso de usuarios | Administración o control de acceso de usuarios-8.4 | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 | |
| Sistemas de mensajería y correo seguros | Sistemas de mensajería y correo seguros-10.1 | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Criptografía | 10,20 | Criptografía: 10.20 | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Criptografía | 10,20 | Criptografía: 10.20 | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Control de acceso | 10.54 | Access Control: 10.54 | Las aplicaciones de App Service deben tener activada la autenticación | 2.0.1 |
| Control de acceso | 10.54 | Access Control: 10.54 | Las aplicaciones de funciones deben tener habilitada la autenticación | 3.0.0 |
| Control de acceso | 10.54 | Access Control: 10.54 | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Seguridad de los servicios digitales | 10.66 | Seguridad de los servicios digitales: 10.66 | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
| Seguridad de los servicios digitales | 10.68 | Seguridad de los servicios digitales: 10.68 | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Seguridad de los servicios digitales | 10.68 | Seguridad de los servicios digitales: 10.68 | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.3 | Medidas de control sobre ciberseguridad: anexo 5.3 | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Seguridad del flujo de datos interno | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4A | Seguridad del flujo de datos administrativo | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4A | Seguridad del flujo de datos administrativo | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4A | Seguridad del flujo de datos administrativo | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Confidencialidad e integridad de la sesión del operador | Las aplicaciones de App Service deben usar la última versión de TLS | 2.1.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Confidencialidad e integridad de la sesión del operador | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Administrar identidades y segregar privilegios | 5.2 | Administración de tokens | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Administrar identidades y segregar privilegios | 5.2 | Administración de tokens | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Administrar identidades y segregar privilegios | 5.4 | Almacenamiento de contraseñas físicas y lógicas | Las aplicaciones de App Service deben usar la identidad administrada | 3.0.0 |
| Administrar identidades y segregar privilegios | 5.4 | Almacenamiento de contraseñas físicas y lógicas | Las aplicaciones de funciones deben usar la identidad administrada | 3.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Integridad de software | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Integridad de software | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
SWIFT CSP CSCF v2022
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | 2.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Las aplicaciones de App Service deben tener activados los registros de recursos | 2.0.1 |
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Controles de acceso lógicos y físicos | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Controles de acceso lógicos y físicos | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Controles de acceso lógicos y físicos | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Controles de acceso lógicos y físicos | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Controles de acceso lógicos y físicos | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Controles de acceso lógicos y físicos | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Controles de acceso lógicos y físicos | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Controles de acceso lógicos y físicos | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las aplicaciones de App Service deben requerir solo FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Controles de acceso lógicos y físicos | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las aplicaciones de funciones solo deben requerir FTPS | 3.0.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las aplicaciones de funciones deben usar la última versión de TLS | 2.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Controles de acceso lógicos y físicos | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | 3.1.0 en desuso |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | 1.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | 2.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de App Service deben utilizar la última "versión HTTP" | 4.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | 2.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Las aplicaciones de funciones deben usar la última "versión de HTTP" | 4.0.0 |
UK OFFICIAL y UK NHS
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte UK OFFICIAL.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección de datos en tránsito | 1 | Protección de datos en tránsito | Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | 4.0.0 |
| Protección de datos en tránsito | 1 | Protección de datos en tránsito | Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | 5.0.0 |
| Protección de la interfaz externa | 11 | Protección de la interfaz externa | Las aplicaciones de App Service deben tener la depuración remota desactivada | 2.0.0 |
| Protección de la interfaz externa | 11 | Protección de la interfaz externa | Las aplicaciones de funciones deben tener la depuración remota desactivada | 2.0.0 |
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.