Guía de referencia sobre las recomendaciones de seguridad

En este artículo se muestra una lista de las recomendaciones que puede ver en Microsoft Defender for Cloud. Las recomendaciones que se muestran en su entorno dependen de los recursos que se van a proteger y de la configuración personalizada.

Las recomendaciones de Defender for Cloud se basan en Azure Security Benchmark. Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.

Para más información sobre cómo responder a estas recomendaciones, consulte Implementación de recomendaciones de seguridad en Microsoft Defender for Cloud.

La puntuación segura se basa en el número de recomendaciones de seguridad que ha completado. Para decidir qué recomendaciones se resuelven en primer lugar, examine la gravedad de cada una de ellas y su posible impacto en la puntuación de seguridad.

Sugerencia

Si la descripción de una recomendación indica "No hay ninguna directiva relacionada", suele deberse a que esta recomendación depende de una recomendación distinta y de su directiva. Por ejemplo, la recomendación "Los errores de estado de Endpoint Protection deberían corregirse..." se basa en la recomendación que comprueba si una solución de Endpoint Protection está incluso instalada ("La solución de Endpoint Protection debe estar instalada..."). La recomendación subyacente tiene una directiva. Limitar las directivas a únicamente la recomendación básica simplifica la administración de directivas.

Recomendaciones de AppServices

Hay 31 recomendaciones en esta categoría.

Recomendación Descripción severity
Acceso a API App solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.
(Directiva relacionada: solo se debe poder acceder a una aplicación de API a través de HTTPS)
Media
CORS no debe permitir que todos los recursos accedan a API Apps. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de API. Permita la interacción con API solo de los dominios requeridos.
(Directiva relacionada: CORS no debe permitir que todos los recursos accedan a una aplicación de API)
Bajo
CORS no debe permitir que todos los recursos accedan a Function Apps. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos.
(Directiva relacionada: CORS no debe permitir que todos los recursos accedan a sus aplicaciones de funciones)
Bajo
CORS no debe permitir que todos los recursos accedan a aplicaciones web. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación web. Permita la interacción con la aplicación web solo de los dominios requeridos.
(Directiva relacionada: CORS no debe permitir que todos los recursos accedan a sus aplicaciones web)
Bajo
Los registros de diagnóstico de App Service deben estar habilitados Permite auditar la habilitación de registros de diagnóstico en la aplicación.
Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red.
(Ninguna directiva relacionada)
Media
Asegurarse de que la aplicación de API tenga la opción de "certificados de cliente (certificados de cliente entrantes)" activada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación.
(Directiva relacionada: Asegurarse de que la aplicación de API tenga la opción de "certificados de cliente (certificados de cliente entrantes)" activada)
Media
FTPS debe ser necesario en las aplicaciones de API. Habilite el cumplimiento con FTPS para mejorar la seguridad.
(Directiva relacionada: FTPS solo debe exigirse en una aplicación de API)
Alto
FTPS debe ser necesario en las aplicaciones de función. Habilite el cumplimiento con FTPS para mejorar la seguridad.
(Directiva relacionada: FTPS solo debe exigirse en su aplicación de funciones)
Alto
FTPS debe ser necesario en las aplicaciones web. Habilite el cumplimiento con FTPS para mejorar la seguridad.
(Directiva relacionada: FTPS debe exigirse en su aplicación web)
Alto
Acceso a Function App solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.
(Directiva relacionada: a la aplicación de funciones solo se puede acceder a través de HTTPS)
Media
Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación.
(Directiva relacionada: las aplicaciones de funciones deben tener la opción "Certificados de cliente [certificados de cliente entrantes]" habilitada)
Media
Java debe actualizarse a la versión más reciente de las aplicaciones de API. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de Java.
Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de Java" es la más reciente, si se usa como parte de la aplicación de API)
Media
Java debe actualizarse a la versión más reciente para las aplicaciones de función. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java.
Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de Java" es la más reciente, si se usa como parte de la aplicación de funciones)
Media
Java debe actualizarse a la versión más reciente de las aplicaciones web. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java.
Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de Java" es la más reciente, si se usa como parte de la aplicación web)
Media
La identidad administrada debe usarse en aplicaciones de API. Para mejorar la seguridad de la autenticación, utilice una identidad administrada.
En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores administren credenciales, al proporcionar una identidad para el recurso de Azure en Azure AD y usarla para obtener tokens de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar una identidad administrada en la aplicación de API)
Media
La identidad administrada debe usarse en aplicaciones de función. Para mejorar la seguridad de la autenticación, utilice una identidad administrada.
En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores administren credenciales, al proporcionar una identidad para el recurso de Azure en Azure AD y usarla para obtener tokens de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar una identidad administrada en la aplicación de funciones)
Media
La identidad administrada debe usarse en aplicaciones web. Para mejorar la seguridad de la autenticación, utilice una identidad administrada.
En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores administren credenciales, al proporcionar una identidad para el recurso de Azure en Azure AD y usarla para obtener tokens de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar una identidad administrada en la aplicación web)
Media
Se debe habilitar Microsoft Defender para App Service Microsoft Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web.
Microsoft Defender para App Service puede detectar ataques en las aplicaciones, además de identificar ataques emergentes.

Importante: La corrección de esta recomendación dará lugar a cargos por la protección de los planes de App Service. Si no tiene ningún plan de App Service en esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de planes de App Service en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos.
Más información en Protección de las API y las aplicaciones web
(Directiva relacionada: se debe habilitar Azure Defender para App Service)
Alto
PHP debe actualizarse a la versión más reciente de las aplicaciones de API. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP.
Para las aplicaciones de API, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de PHP" es la más reciente, en caso de que se use como parte de la aplicación de API)
Media
PHP debe actualizarse a la versión más reciente de las aplicaciones web. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP.
Para las aplicaciones web, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de PHP" es la más reciente, si se usa como parte de la aplicación web)
Media
Python debe actualizarse a la versión más reciente de las aplicaciones de API. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python.
Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de Python" es la más reciente, en caso de que se use como parte de la aplicación de API)
Media
Python debe actualizarse a la versión más reciente para las aplicaciones de función. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python.
Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: asegúrese de que la "versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones)
Media
Python debe actualizarse a la versión más reciente de las aplicaciones web. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python.
Para las aplicaciones web, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.
(Directiva relacionada: Asegúrese de que la "versión de Python" es la más reciente, en caso de que se use como parte de la aplicación web)
Media
Se debe desactivar la depuración remota para aplicaciones de API La depuración remota requiere que se abran puertos de entrada en una aplicación de API. Se debe desactivar la depuración remota.
(Directiva relacionada: se debe desactivar la depuración remota en API Apps)
Bajo
Recomendación de desactivación de la depuración remota para Function App La depuración remota requiere que los puertos de entrada se abran en una aplicación de funciones de Azure. Se debe desactivar la depuración remota.
(Directiva relacionada: se debe desactivar la depuración remota en las instancias de Function App)
Bajo
Recomendación de desactivación de la depuración remota para aplicaciones web La depuración remota requiere puertos de entrada que se abran en una aplicación web. La depuración remota se encuentra actualmente habilitada. Si no necesita usar la depuración remota, se debe desactivar.
(Directiva relacionada: se debe desactivar la depuración remota para las aplicaciones web)
Bajo
TLS debe actualizarse a la versión más reciente de las aplicaciones de API. Actualiza a la versión más reciente de TLS.
(Directiva relacionada: en la aplicación de API se debe usar la versión de TLS más reciente)
Alto
TLS debe actualizarse a la versión más reciente para las aplicaciones de función. Actualiza a la versión más reciente de TLS.
(Directiva relacionada: en la aplicación de funciones se debe usar la versión de TLS más reciente)
Alto
TLS debe actualizarse a la versión más reciente de las aplicaciones web. Actualiza a la versión más reciente de TLS.
(Directiva relacionada: en la aplicación web se debe usar la versión de LTS más reciente)
Alto
Acceso a la aplicación web solo a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.
(Directiva relacionada: el acceso a la aplicación web solo se debe poder realizar a través de HTTPS)
Media
Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes.
Solo los clientes que tienen un certificado válido podrán acceder a la aplicación.
(Directiva relacionada: asegúrese de que la aplicación web tenga la opción de "certificados de cliente (certificados de cliente entrantes)" activada)
Media

Recomendaciones de proceso

Hay 58 recomendaciones en esta categoría.

Recomendación Descripción severity
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Defender for Cloud usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas.
(Directiva relacionada: las máquinas deben tener habilitados controles de aplicaciones adaptables para definir aplicaciones seguras)
Alto
Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Defender for Cloud. Defender for Cloud usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables.
(Directiva relacionada: Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables)
Alto
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información en Pasos rápidos: Creación y uso de un par de claves pública-privada SSH para máquinas virtuales Linux en Azure
(Directiva relacionada: Auditar las máquinas Linux que no usan clave SSH para la autenticación)
Media
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales.
(Directiva relacionada: las variables de cuenta de Automation deben cifrarse)
Alto
Azure Backup debería habilitarse en las máquinas virtuales Proteja los datos de las máquinas virtuales de Azure con Azure Backup.
Azure Backup es una solución de protección de datos rentable y nativa de Azure.
Crea puntos de recuperación que se almacenan en almacenes de recuperación con redundancia geográfica.
Cuando se realiza una restauración desde un punto de recuperación, se puede restaurar toda la máquina virtual o determinados archivos.
(Directiva relacionada: Azure Backup debe habilitarse en las máquinas virtuales)
Bajo
- Los hosts de contenedor deben configurarse de forma segura. Corrija vulnerabilidades en la configuración de seguridad en equipos con Docker instalado para protegerlos de ataques.
(Directiva relacionada: se deben corregir las vulnerabilidades en las configuraciones de seguridad de contenedor)
Alto
Se deben habilitar los registros de diagnóstico en Azure Stream Analytics Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure Stream Analytics debe estar habilitados)
Bajo
Se deben habilitar los registros de diagnóstico en las cuentas de Batch Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de las cuentas de Batch deben estar habilitados)
Bajo
Los registros de diagnóstico del centro de eventos deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Event Hubs deben estar habilitados)
Bajo
- Los registros de diagnóstico de los servicios de Kubernetes deben estar habilitados. Habilite los registros de diagnóstico en los servicios de Kubernetes y consérvelos hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad.
(Ninguna directiva relacionada)
Bajo
Los registros de diagnóstico de Logic Apps deben estar habilitados Para asegurarse de que puede volver a crear trazos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red, habilite el registro. Si los registros de diagnóstico no se envían a un área de trabajo Log Analytics, una cuenta de Azure Storage o Azure Event Hubs, asegúrese de que ha configurado los valores de diagnóstico para enviar las métricas de la plataforma y los registros de la plataforma a los destinos correspondientes. Más información en Creación de una configuración de diagnóstico para enviar los registros y las métricas de la plataforma a diferentes destinos.
(Directiva relacionada: los registro de diagnóstico de Logic Apps deben estar habilitados)
Bajo
Los registros de diagnóstico de los servicios de búsqueda deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de los servicios Search deben estar habilitados)
Bajo
Los registros de diagnóstico en Service Bus deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Service Bus deben estar habilitados)
Bajo
Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados)
Bajo
- Deben resolverse los problemas de estado de Endpoint Protection en las máquinas. Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Consulte la documentación de las soluciones de Endpoint Protection compatibles con Defender for Cloud y las evaluaciones de Endpoint Protection.
(Ninguna directiva relacionada)
Media
- Deben resolverse los problemas de estado de Endpoint Protection en las máquinas. Para obtener una protección completa de Defender for Cloud, resuelva los problemas del agente de supervisión en los equipos siguiendo las instrucciones de la guía de solución de problemas.
(Directiva relacionada: supervisar la falta de protección de puntos de conexión en Azure Security Center)
Media
Deben resolverse los problemas de estado de Endpoint Protection en los conjuntos de escalado de máquinas virtuales. Corrija los errores de estado de la protección de puntos de conexión en conjuntos de escalado de sus máquinas virtuales para protegerlas de amenazas y vulnerabilidades.
(Directiva relacionada: la solución de protección de puntos de conexión debe estar instalada en los conjuntos de escalado de máquinas virtuales)
Bajo
- Endpoint Protection debe instalarse en máquinas. Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible.
Obtenga más información sobre cómo se evalúa Endpoint Protection para máquinas en Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud.
(Ninguna directiva relacionada)
Alto
Debe instalar Endpoint Protection en las máquinas. Instale una solución de protección de punto de conexión en las máquinas virtuales Windows y Linux para protegerlas frente a amenazas y vulnerabilidades.
(Ninguna directiva relacionada)
Media
Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales. Instale una solución Endpoint Protection en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades.
(Directiva relacionada: la solución Endpoint Protection debe estar instalada en los conjuntos de escalado de máquinas virtuales)
Alto
La supervisión de la integridad de los archivos debe estar habilitada en las máquinas Defender for Cloud ha identificado máquinas a las que les falta una solución de supervisión de integridad de archivos. Para supervisar los cambios en archivos críticos, claves del registro, etc. en los servidores, habilite la supervisión de la integridad de los archivos.
Cuando la solución de supervisión de la integridad de los archivos está habilitada, cree reglas de recopilación de datos para definir los archivos que se van a supervisar. Para definir reglas o ver los archivos cambiados en las máquinas con reglas existentes, vaya a la página de administración de supervisión de la integridad de los archivos>
(Ninguna directiva relacionada)
Alto
La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Linux admitidos Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux admitidos para permitir que Microsoft Defender for Cloud atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux Instale la extensión de atestación de invitados en máquinas virtuales Linux admitidas para permitir que Microsoft Defender for Cloud atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Windows admitidos Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales admitidos para permitir que Microsoft Defender for Cloud atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows Instale la extensión de atestación de invitados en máquinas virtuales admitidas para permitir que Microsoft Defender for Cloud atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
La extensión de configuración de invitado debe instalarse en las máquinas. Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Más información.
(Directiva relacionada: las máquinas virtuales deben tener la extensión Configuración de invitado).
Media
Instalar una solución de protección de punto de conexión en máquinas virtuales Instale una solución de protección de punto de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades.
(Directiva relacionada: supervisar la falta de Endpoint Protection en Azure Security Center)
Alto
Las máquinas virtuales Linux deben exigir la validación de la firma del módulo de kernel Para ayudar a mitigar la ejecución de código malintencionado o no autorizado en modo kernel, exija la validación de la firma del módulo de kernel en máquinas virtuales Linux admitidas. La validación de la firma del módulo de kernel garantiza que solo se permita la ejecución de módulos de kernel de confianza. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor.
(Ninguna directiva relacionada)
Bajo
Las máquinas virtuales Linux solo deben usar componentes de arranque firmados y de confianza Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados.
(Ninguna directiva relacionada)
Bajo
Las máquinas virtuales Linux deben usar el arranque seguro Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor.
(Ninguna directiva relacionada)
Bajo
El agente de Log Analytics debe instalarse en las máquinas basadas en Linux habilitadas para Azure Arc. Defender for Cloud usa el agente de Log Analytics (también conocido como OMS) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección.
(Ninguna directiva relacionada)
Alto
El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales. Defender for Cloud recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos. También tendrá que realizar ese procedimiento si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. No se puede configurar el aprovisionamiento automático del agente para los conjuntos de escalado de máquinas virtuales de Azure. Para implementar el agente en los conjuntos de escalado de máquinas virtuales (incluidos los que se usan en los servicios administrados de Azure, como Azure Kubernetes Service y Azure Service Fabric), siga el procedimiento descrito en los pasos de corrección.
(Directiva relacionada: el agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center)
Alto
El agente de Log Analytics debe instalarse en las máquinas virtuales. Defender for Cloud recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo de Log Analytics para analizarlos. Este agente también es necesario si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. Se recomienda configurar el aprovisionamiento automático para que implemente el agente automáticamente. Si decida no usar el aprovisionamiento automático, implemente el agente de forma manual en sus máquinas virtuales y, para hacerlo, siga las instrucciones de los pasos para la corrección.
(Directiva relacionada: el agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center)
Alto
El agente de Log Analytics debe instalarse en las máquinas basadas en Windows habilitadas para Azure Arc. Defender for Cloud usa el agente de Log Analytics (también conocido como MMA) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección.
(Ninguna directiva relacionada)
Alto
Las máquinas deben configurarse de forma segura. Corrija vulnerabilidades en la configuración de seguridad en las máquinas para protegerlas de ataques.
(Directiva relacionada: se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas)
Bajo
Las máquinas deben reiniciarse para aplicar actualizaciones de configuración de seguridad Para aplicar las actualizaciones de configuración de seguridad y protegerlas frente a las vulnerabilidades, reinicie sus máquinas. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor.
(Ninguna directiva relacionada)
Bajo
Las máquinas deben tener una solución de evaluación de vulnerabilidades. Defender for Cloud comprueba regularmente las máquinas conectadas para asegurarse de que están ejecutando herramientas de evaluación de vulnerabilidades. Use esta recomendación para implementar una solución de evaluación de vulnerabilidades.
(Directiva relacionada: debe habilitarse una solución de evaluación de vulnerabilidades en las máquinas virtuales)
Media
Las máquinas deben tener resueltos los resultados de vulnerabilidades. Resuelva los resultados de las soluciones de evaluación de vulnerabilidades en las máquinas virtuales.
(Directiva relacionada: debe habilitarse una solución de evaluación de vulnerabilidades en las máquinas virtuales)
Bajo
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Defender for Cloud identificó en los puertos de administración del grupo de seguridad de red que algunas de las reglas de entrada son demasiado permisivas. Habilite el control de acceso Just-in-Time para proteger la máquina virtual frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información en Descripción del acceso a la máquina virtual Just-in-Time (JIT)
(Directiva relacionada: los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time)
Alto
Se debe habilitar Microsoft Defender para servidores Microsoft Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa.
Esta información se puede usar para corregir problemas de seguridad y mejorar la seguridad de los servidores rápidamente.

Importante: la corrección de esta recomendación dará lugar a cargos por la protección de los servidores. Si no tiene ningún servidor en esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de servidores en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos.
Más información en Introducción a Microsoft Defender para servidores.
(Directiva relacionada: se debe habilitar Azure Defender para servidores)
Alto
Microsoft Defender para servidores debe estar habilitado en las áreas de trabajo. Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas para las máquinas Windows y Linux.
Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas.
Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para los servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para los servidores de la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure.
Más información en Introducción a Microsoft Defender para servidores.
(Ninguna directiva relacionada)
Media
Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidad La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques.
(Ninguna directiva relacionada)
Alto
El arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas La habilitación del arranque seguro en las máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente.
(Directiva relacionada: se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric)
Alto
Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente Realice la autenticación de clientes solo mediante Azure Active Directory en Service Fabric
(Directiva relacionada: los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente)
Alto
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales Instale actualizaciones faltantes de seguridad y críticas para proteger sus conjuntos de escalado de máquinas virtuales de Windows y Linux.
(Directiva relacionada: se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales)
Alto
Se deben instalar actualizaciones del sistema en las máquinas Instale actualizaciones faltantes de seguridad y críticas para proteger sus máquinas virtuales y equipos de Windows y Linux.
(Directiva relacionada: se deben instalar las actualizaciones del sistema en las máquinas)
Alto
Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección.
(Ninguna directiva relacionada)
Alto
Los conjuntos de escalado de máquinas virtuales deben configurarse de forma segura. Corrija vulnerabilidades en la configuración de seguridad en conjuntos de escalado de máquinas virtuales para protegerlas de ataques.
(Directiva relacionada: se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales)
Alto
El estado de atestación de invitado de las máquinas virtuales debe ser correcto La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit.
Esta evaluación solo se aplica a las máquinas virtuales habilitadas para inicio de confianza que tengan instalada la extensión de atestación de invitados.
(Ninguna directiva relacionada)
Media
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información
(Directiva relacionada: la extensión Configuración de invitado se debe implementar en las máquinas virtuales de Azure con una identidad administrada asignada por el sistema).
Media
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Virtual Machines (clásico) quedó en desuso y estás máquinas virtuales se deben migrar a Azure Resource Manager.
Dado que Azure Resource Manager tiene ahora funcionalidades completas de IaaS y otras mejoras, hemos puesto en desuso las máquinas virtuales (VM) de IaaS mediante Azure Service Manager (ASM) el 28 de febrero de 2020. Esta funcionalidad se retirará por completo el 1 de marzo de 2023.

Para visualizar todas las VM clásicas afectadas, asegúrese de seleccionar todas las suscripciones de Azure en la pestaña "Directorios y suscripciones".

Recursos e información disponibles sobre esta herramienta y la migración:
Información general sobre el desuso de las máquinas virtuales (clásico), el proceso detallado de la migración y los recursos de Microsoft disponibles.
Detalles sobre la migración con la herramienta de migración de Azure Resource Manager.
Migre a la herramienta de migración de Azure Resource Manager mediante PowerShell.
(Directiva relacionada: Virtual Machines debe migrar a los nuevos recursos de Azure Resource Manager)
Alto
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma,
los discos temporales y las memorias caché de datos no están cifrados, y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento.
Para ver una comparación de las distintas tecnologías de cifrado de disco en Azure, consulte, https://aka.ms/diskencryptioncomparison.
Use Azure Disk Encryption para cifrar todos estos datos.
Ignore esta recomendación si:
1. Está usando la característica de cifrado en host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad.
Más información en Cifrado del lado servidor de Azure Disk Storage
(Directiva relacionada: el cifrado de discos debe aplicarse en las máquinas virtuales)
Alto
vTPM debe estar habilitado en las máquinas virtuales admitidas Habilite el dispositivo TPM virtual en las máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

Importante:
El inicio seguro requiere la creación de nuevas máquinas virtuales.
No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas virtuales de Azure
(Ninguna directiva relacionada)
Bajo
Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (mediante la configuración de invitado) Corrija vulnerabilidades en la configuración de seguridad en sus máquinas Linux para protegerlas de ataques.
(Directiva relacionada: las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de Azure)
Bajo
Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (mediante la configuración de invitado) Corrija vulnerabilidades en la configuración de seguridad en sus máquinas Windows para protegerlas de ataques.
(Ninguna directiva relacionada)
Bajo
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows).
(Directiva relacionada: auditar las máquinas Windows en las que Protección contra vulnerabilidades de seguridad de Windows Defender no está habilitado).
Media
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas.
(Directiva relacionada: Auditoría de los servidores web Windows que no estén usando los protocolos de comunicación segura)
Alto

Recomendaciones del contenedor

Hay 27 recomendaciones en esta categoría.

Recomendación Descripción severity
[Habilitar si es necesario] Los registros de contenedor se deben cifrar con una clave administrada por el cliente (CMK). Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/acr/CMK.
(Directiva relacionada: las instancias de Container Registry se deben cifrar con una clave administrada por el cliente [CMK])
Bajo
Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy La extensión de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente.
(Ninguna directiva relacionada)
Alto
Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada. La extensión de Defender para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del plano de control (maestro) del clúster y los envía a Microsoft Defender para el back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Más información.
(Ninguna directiva relacionada)
Alto
Los clústeres de Azure Kubernetes Service deben tener instalado el complemento de Azure Policy para Kubernetes El complemento de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente.

Defender for Cloud requiere que el complemento audite y aplique las funcionalidades de seguridad y el cumplimiento en los clústeres. Más información.

Requiere Kubernetes v 1.14.0 o posterior.


(Directiva relacionada: el complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres)
Alto
Se deben aplicar los límites de CPU y memoria de los contenedores La aplicación de límites de CPU y memoria evita los ataques de agotamiento de recursos (una forma de ataque de denegación de servicio).

Se recomienda establecer los límites de los contenedores para asegurarse de que el tiempo de ejecución impide que el contenedor use más del límite de recursos configurado.


(Directiva relacionada: asegúrese de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes)
Media
Las imágenes de contenedor solo deben implementarse desde registros de confianza Las imágenes que se ejecutan en el clúster de Kubernetes deben provenir de registros de imagen de contenedor conocidos y supervisados. Los registros de confianza reducen el riesgo de exposición del clúster, ya que limitan la posibilidad de que se introduzcan vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas.
(Directiva relacionada: asegúrese de que solo hay las imágenes de contenedor permitidas en el clúster de Kubernetes)
Alto
Las instancias de Container Registry no deben permitir el acceso de red sin restricciones De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para protegerlas frente a posibles amenazas, permita el acceso solo desde direcciones IP públicas específicas o intervalos de direcciones. Si el registro no tiene una regla de IP/firewall o una red virtual configurada, aparece en los recursos incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/portal/public-network y aquí https://aka.ms/acr/vnet.
(Directiva relacionada: las instancias de Container Registry no deben permitir el acceso de red sin restricciones)
Media
Las instancias de Container Registry deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link.
(Directiva relacionada: las instancias de Container Registry deben usar un vínculo privado)
Media
Las imágenes del registro de contenedor deben tener resueltas las conclusiones de vulnerabilidades. La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques.
(Directiva relacionada: se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry)
Alto
Se deben evitar los contenedores con elevación de privilegios Los contenedores no deben ejecutarse con una elevación de privilegios a la raíz en el clúster de Kubernetes.
El atributo AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que el proceso primario.
(Directiva relacionada: los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor)
Media
Deben evitarse los contenedores que comparten espacios de nombres de host confidenciales Para protegerse frente a la elevación de privilegios fuera del contenedor, evite el acceso del pod a espacios de nombres de hosts confidenciales (id. de proceso de host e IPC de host) en un clúster de Kubernetes.
(Directiva relacionada: los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host)
Media
Los contenedores solo deben usar perfiles de AppArmor permitidos. Los contenedores que se ejecutan en los clústeres de Kubernetes se deben limitar únicamente a perfiles de AppArmor permitidos.
AppArmor (Application Armor) es un módulo de seguridad de Linux que protege un sistema operativo y sus aplicaciones frente a amenazas de seguridad. Para usarlo, el administrador del sistema asocia un perfil de seguridad de AppArmor a cada programa.
(Directiva relacionada: los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos)
Alto
El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores Los contenedores deben ejecutarse con un sistema de archivos raíz de solo lectura en el clúster de Kubernetes. El sistema de archivos inmutable protege los contenedores frente a cambios en el entorno de ejecución que implican la adición de archivos binarios malintencionados a PATH.
(Directiva relacionada: los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura)
Media
El servidor de API de Kubernetes debe configurarse con acceso restringido Para asegurarse de que las aplicaciones de las redes, máquinas o subredes permitidas son las únicas que pueden acceder al clúster, restrinja el acceso al servidor de API de Kubernetes. Para restringir el acceso, defina los intervalos IP autorizados o configure los servidores de API como clústeres privados, como se explica en Creación de un clúster privado de Azure Kubernetes Service.
(Directiva relacionada: los intervalos IP autorizados deben definirse en Servicios de Kubernetes)
Alto
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta funcionalidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para más información, visite https://aka.ms/kubepolicydoc
(Directiva relacionada: Exigir la entrada HTTPS en el clúster de Kubernetes)
Alto
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc.
(Directiva relacionada: Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático)
Alto
Los clústeres de Kubernetes deben canalizar la implementación de imágenes vulnerables Proteja los clústeres de Kubernetes y las cargas de trabajo de contenedor frente a posibles amenazas mediante la restricción de la implementación de imágenes de contenedor con componentes de software vulnerables. Use el análisis de CI/CD de Defender for Cloud y Microsoft Defender para registros de contenedor para identificar y aplicar revisiones a las vulnerabilidades antes de la implementación.
Requisito previo de evaluación: complemento o extensión de Azure Policy y el perfil o extensión de Defender.
Solo se aplica a los clientes de versión preliminar privada.
(Ninguna directiva relacionada)
Alto
Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN. Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc.
(Ninguna directiva relacionada)
Alto
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc.
(Directiva relacionada: Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado)
Bajo
Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores Para reducir la superficie expuesta a ataques del contenedor, restrinja las funcionalidades de Linux y conceda privilegios específicos a los contenedores sin conceder todos los privilegios del usuario raíz. Se recomienda eliminar todas las funcionalidades y agregar después las que se necesiten
(Directiva relacionada: los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas)
Media
Microsoft Defender para contenedores debería estar habilitado Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube.
Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

Importante: la corrección de esta recomendación dará lugar a cargos por la protección de los clústeres de Kubernetes. Si no tiene ningún clúster de Kubernetes en esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de clústeres de Kubernetes en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos.
Más información en Introducción a Microsoft Defender para contenedores
(Ninguna directiva relacionada)
Alto
Deben evitarse los contenedores con privilegios Para evitar el acceso a los hosts sin restricciones, siempre que sea posible, evite los contenedores con privilegios.

Los contenedores con privilegios tienen todas las capacidades raíz de un equipo host. Se pueden usar no solo como puntos de entrada para ataques, sino también para distribuir código malintencionado o malware en aplicaciones, hosts y redes en peligro.


(Directiva relacionada: no permitir contenedores con privilegios en un clúster de Kubernetes)
Media
Se debe usar el control de acceso basado en rol en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Para obtener más información, consulte Control de acceso basado en roles de Azure.
(Directiva relacionada: Se debe usar el control de acceso basado en rol en los servicios de Kubernetes)
Alto
Se debe evitar la ejecución de contenedores como usuario raíz Los contenedores no se deben ejecutar como usuarios raíz en el clúster de Kubernetes. La ejecución de un proceso como el usuario raíz dentro de un contenedor lo ejecuta como raíz en el host. En caso de peligro, un atacante tiene la raíz en el contenedor, y cualquier error de configuración resulta más fácil de aprovechar.
(Directiva relacionada: los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados)
Alto
Los servicios solo deben escuchar en los puertos permitidos Para reducir la superficie expuesta a ataques del clúster de Kubernetes, restrinja el acceso a este limitando el acceso de los servicios a los puertos configurados.
(Directiva relacionada: asegúrese de que los servicios solo realizan escuchas en los puertos permitidos del clúster de Kubernetes)
Media
El uso de puertos y redes de hosts debe estar restringido Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Los pods creados con el atributo hostNetwork habilitado compartirán el espacio de red del nodo. Para evitar que el contenedor en peligro rastree el tráfico de red, se recomienda no colocar los pods en la red del host. Si tiene que exponer un puerto de contenedor en la red del nodo y el uso de un puerto de nodo del servicio Kubernetes no satisface sus necesidades, otra posibilidad es especificar un atributo hostPort para el contenedor en la especificación del pod.
(Directiva relacionada: los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos)
Media
El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de restringir el acceso a los nodos de los contenedores en peligro Se recomienda limitar los montajes de volúmenes HostPath de pod en el clúster de Kubernetes a las rutas de acceso de host permitidas configuradas. En caso de peligro, se debe restringir el acceso al nodo contenedor desde los contenedores.
(Directiva relacionada: los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas)
Media

Recomendaciones de datos

Hay 78 recomendaciones en esta categoría.

Recomendación Descripción severity
[Habilitar si es necesario] Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/cosmosdb-cmk.
(Directiva relacionada: las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo)
Bajo
[Habilitar si es necesario] Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK). Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente (CMK). De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/azureml-workspaces-cmk.
(Directiva relacionada: las áreas de trabajo de Azure Machine Learning deben cifrarse con una tecla administrada por el cliente [CMK])
Bajo
[Habilitar si es necesario] Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente (CMK). Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/cosmosdb-cmk.
(Directiva relacionada: las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente [CMK])
Bajo
[Habilitar si es necesario] Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración.
(Directiva relacionada: la protección de datos de Bring Your Own Key debe estar habilitada para los servidores MySQL)
Bajo
[Habilitar si es necesario] Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración.
(Directiva relacionada: la protección de datos de Bring Your Own Key debe habilitarse para los servidores PostgreSQL)
Bajo
[Habilitar si es necesario] Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.
(Directiva relacionada: Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo).
Bajo
[Habilitar si es necesario] Los servidores SQL Server deben usar claves administradas por el cliente para cifrar los datos en reposo. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.
(Directiva relacionada: los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo)
Bajo
[Habilitar si es necesario] Las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado. Las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero se pueden habilitar en los escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad
Proteja su cuenta de almacenamiento con mayor flexibilidad mediante el uso de claves administradas por el cliente (CMK). Cuando se especifica una CMK, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves CMK proporciona funciones adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía.
(Directiva relacionada: las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado)
Bajo
Todos los tipos de protección contra amenazas avanzada deben habilitarse en la configuración de la seguridad avanzada de datos de las instancias administradas de SQL. Se recomienda habilitar todos los tipos de protección contra amenazas avanzada en las instancias administradas de SQL. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala.
(Ninguna directiva relacionada)
Media
Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server. Se recomienda habilitar todos los tipos de protección contra amenazas avanzada en los servidores SQL Server. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala.
(Ninguna directiva relacionada)
Media
Los servicios de API Management deben usar una red virtual La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual.
(Directiva relacionada: Los servicios de API Management deben usar una red virtual)
Media
App Configuration debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint.
(Directiva relacionada: App Configuration debe usar un vínculo privado)
Media
La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo Audite los servidores SQL Server configurados con un período de retención de auditoría de menos de 90 días.
(Directiva relacionada: los servidores de SQL Server se deben configurar con una retención de auditoría de 90 días, o más.)
Bajo
La auditoría de SQL Server debe estar habilitada Habilite la auditoría en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría.
(Directiva relacionada: la auditoría de SQL Server debe estar habilitada)
Bajo
El aprovisionamiento automático del agente de Log Analytics debe habilitarse en las suscripciones. Para supervisar las amenazas y vulnerabilidades de seguridad, Microsoft Defender for Cloud recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen.
(Directiva relacionada: el aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción)
Bajo
Azure Cache for Redis debe residir en una red virtual La implementación de Azure Virtual Network aporta más seguridad y aislamiento de su instancia de Azure Cache for Redis, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando una instancia de Azure Cache for Redis se configure con una red virtual, no será posible acceder a ella públicamente, solo se podrá acceder a ella desde máquinas virtuales y aplicaciones de dentro de la red virtual.
(Directiva relacionada: Azure Cache for Redis debe residir en una red virtual)
Media
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles.
(Directiva relacionada: Las cuentas de Azure Cosmos DB deben tener reglas de firewall)
Media
Los resultados de la posición de seguridad de Azure DevOps deberían resolverse Las comprobaciones de posición de seguridad de Defender para DevOps le ayudan a mantener los artefactos de ADO, como diversas configuraciones de organización o proyecto, configuraciones de compilación/versión, conexiones de servicio, grupos de agentes, etc., configurados de forma segura.
(Ninguna directiva relacionada)
Media
Los dominios de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints.
(Directiva relacionada: los dominios de Azure Event Grid deben usar un vínculo privado)
Media
Los temas de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los temas en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints.
(Directiva relacionada: los temas de Azure Event Grid deben usar un vínculo privado)
Media
Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución.
Al habilitar el perfil SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad.
Más información en Introducción a Microsoft Defender para contenedores
(Ninguna directiva relacionada)
Alto
Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las áreas de Azure Machine Learning en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/azureml-workspaces-privatelink.
(Directiva relacionada: las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado)
Media
Azure SignalR Service debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de SignalR en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/asrs/privatelink.
(Directiva relacionada: Azure SignalR Service debe usar un vínculo privado)
Media
Azure Spring Cloud debe usar la inserción de red Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud.
(Directiva relacionada: Azure Spring Cloud debe usar la inserción de red)
Media
Los repositorios de código deben tener resueltos los resultados del examen de código Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades.
(Ninguna directiva relacionada)
Media
Los resultados de los exámenes de Dependabot de los repositorios de código deben estar resueltos Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades.
(Ninguna directiva relacionada)
Media
Los resultados de los exámenes de infraestructura como código de los repositorios de código deben estar resueltos Defender para DevOps ha encontrado problemas de configuración de seguridad de código como infraestructura en repositorios. Los problemas que se muestran a continuación se han detectado en archivos de plantilla. Para mejorar la posición de seguridad de los recursos en la nube relacionados, se recomienda encarecidamente corregir estos problemas.
(Ninguna directiva relacionada)
Media
Los repositorios de código deben tener los resultados del examen de secretos resueltos Defender para DevOps ha encontrado un secreto en los repositorios de código. Esto debe corregirse inmediatamente para evitar una infracción de seguridad. Los secretos encontrados en los repositorios se pueden filtrar o detectar por adversarios, lo que conduce a un riesgo de una aplicación o servicio. Para Azure DevOps, la herramienta CredScan de DevOps de seguridad de Microsoft solo examina las compilaciones en las que se ha configurado para ejecutarse. Por lo tanto, es posible que los resultados no reflejen el estado completo de los secretos en los repositorios.
(Ninguna directiva relacionada)
Alto
Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos Esta directiva audita las cuentas de Cognitive Services sin usar el cifrado de datos. Para cada cuenta de Cognitive Services con almacenamiento, debe habilitar el cifrado de datos con una clave administrada por el cliente o por Microsoft.
(Directiva relacionada: Las cuentas de Cognitive Services deben habilitar el cifrado de datos)
Bajo
Las cuentas de Cognitive Services deben restringir el acceso a la red Se debe restringir el acceso de red a las cuentas de Cognitive Services. Configure reglas de red, de forma que solo las aplicaciones de redes permitidas pueden acceder a la cuenta de Cognitive Services. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas.
(Directiva relacionada: Se debe restringir el acceso de red a las cuentas de Cognitive Services)
Media
Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos. Esta directiva audita las cuentas de Cognitive Services sin usar cifrado de datos ni almacenamiento propiedad del cliente. Para cada cuenta de Cognitive Services con almacenamiento, use el almacenamiento propiedad del cliente o habilite el cifrado de datos.
(Directiva relacionada: Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.)
Bajo
Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure Data Lake Store deben estar habilitados)
Bajo
Los registros de diagnóstico de Data Lake Analytics deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: s registros de diagnóstico de Data Lake Analytics deben estar habilitados)
Bajo
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de su organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de sus suscripciones, habilite las notificaciones por correo electrónico a fin de obtener alertas de gravedad alta en Defender for Cloud.
(Directiva relacionada: la notificación por correo electrónico de las alertas de gravedad alta debe estar habilitada)
Bajo
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de la suscripción reciban una notificación cuando se produzca una vulneración de seguridad potencial en su suscripción, establezca notificaciones por correo electrónico para los propietarios de la suscripción a fin de que reciban alertas de gravedad alta en Defender for Cloud.
(Directiva relacionada: la notificación por correo electrónico al propietario de la suscripción en alertas de gravedad alta debe estar habilitada)
Media
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL).
La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación.
Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.
(Directiva relacionada: la aplicación de la conexión SSL debe estar habilitada para los servidor de bases de datos MySQL)
Media
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL).
La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación.
Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.
(Directiva relacionada: la aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL)
Media
Las aplicaciones de funciones deben tener resueltos los hallazgos de vulnerabilidades El examen de vulnerabilidades en runtime para funciones examina las aplicaciones de funciones en busca de vulnerabilidades de seguridad y expone conclusiones detalladas. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad delas aplicaciones sin servidor y protegerlos frente a ataques.
(Ninguna directiva relacionada)
Alto
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos.
Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.
(Directiva relacionada: la copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB)
Bajo
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos.
Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.
(Directiva relacionada: la copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL)
Bajo
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos.
Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor.
(Directiva relacionada: la copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL)
Bajo
Los repositorios de GitHub deben tener habilitado el análisis de código GitHub usa el análisis de código para analizar código con el fin de encontrar vulnerabilidades de seguridad y errores en el código. El escaneo de código puede usarse para encontrar, clasificar y priorizar las correcciones de los problemas existentes en su código. El análisis del código también puede evitar que los desarrolladores generen nuevos problemas. Los escaneos se pueden programar para días y horas específicas, o los escaneos se pueden activar cuando se produce un evento específico en el repositorio, como un push. Si el escaneo de código encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto.
(Ninguna directiva relacionada)
Media
Los repositorios de GitHub deben tener habilitado el examen de Dependabot GitHub envía alertas de Dependabot cuando detecta vulnerabilidades en las dependencias de código que afectan a los repositorios. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Cuando el código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas.
(Ninguna directiva relacionada)
Media
Los repositorios de GitHub deben tener habilitada la característica de examen de secretos GitHub escanea los repositorios en busca de tipos de secretos conocidos, para evitar el uso fraudulento de los secretos que se confirmaron accidentalmente en los repositorios. El escaneo de secretos escaneará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub en busca de cualquier secreto. Algunos ejemplos de secretos son tokens y claves privadas que un proveedor de servicios puede emitir para la autenticación. Si se registra un secreto en un repositorio, cualquiera que tenga acceso de lectura al repositorio puede usar el secreto para acceder al servicio externo con esos privilegios. Los secretos deben almacenarse en una ubicación dedicada y segura fuera del repositorio del proyecto.
(Ninguna directiva relacionada)
Alto
Se debe habilitar Microsoft Defender para servidores de Microsoft Azure SQL Database Microsoft Defender para SQL es un paquete unificado que ofrece funcionalidades avanzadas de seguridad de SQL.
Incluye una funcionalidad para mostrar y mitigar las vulnerabilidades potenciales de una base de datos, mediante la detección de actividades anómalas que puedan indicar una amenaza para dicha base de datos, y el descubrimiento y clasificación de datos confidenciales.
Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ningún servidor Azure SQL Database en esta suscripción, no se le aplicarán cargos. Si más adelante crea servidores de Azure SQL Database en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región
Más información en Introducción a Microsoft Defender para SQL
(Directiva relacionada: se debe habilitar Azure Defender para servidores de Microsoft Azure SQL Database)
Alto
Se debe habilitar Microsoft Defender para DNS Microsoft Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Defender para DNS alerta sobre actividades sospechosas en la capa DNS. Más información en Introducción a Microsoft Defender para DNS La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Defender for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Ninguna directiva relacionada)
Alto
Microsoft Defender para las bases de datos relacionales de código abierto debería estar habilitado. Microsoft Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Más información en Introducción a Microsoft Defender para bases de datos relacionales de código abierto

Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Si no se tiene ninguna base de datos relacional de código abierto en esta suscripción, no se incurrirá en ningún cargo. Si, en el futuro, crea bases de datos relacionales de código abierto en esta suscripción, se protegerán automáticamente y, a partir de ese momento, se iniciarán los cargos.
(Ninguna directiva relacionada)
Alto
Se debe habilitar Microsoft Defender para Resource Manager Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos en su organización. Defender for Cloud detecta amenazas y alerta sobre actividades sospechosas. Más información en Introducción a Microsoft Defender para Resource Manager La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Defender for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Ninguna directiva relacionada)
Alto
Microsoft Defender para SQL en las máquinas debe estar habilitado en las áreas de trabajo Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas para las máquinas Windows y Linux.
Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas.
Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para los servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para los servidores de la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure.
Más información en Introducción a Microsoft Defender para servidores.
(Ninguna directiva relacionada)
Media
Se debe habilitar Microsoft Defender para servidores SQL Server en las máquinas Microsoft Defender para SQL es un paquete unificado que ofrece funcionalidades avanzadas de seguridad de SQL.
Incluye una funcionalidad para mostrar y mitigar las vulnerabilidades potenciales de una base de datos, mediante la detección de actividades anómalas que puedan indicar una amenaza para dicha base de datos, y el descubrimiento y clasificación de datos confidenciales.

Importante: La corrección de esta recomendación dará lugar a cargos por la protección de los servidores SQL Server en las máquinas. Si no tiene ningún servidor SQL Server en las máquinas de esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de servidores SQL Server en las máquinas de esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos.
Más información sobre Microsoft Defender para servidores de SQL Server en las máquinas
(Directiva relacionada: se debe habilitar Azure Defender para servidores SQL Server en las máquinas)
Alto
Se debe habilitar Microsoft Defender para SQL en los servidores de Azure SQL Server desprotegidos Microsoft Defender para SQL es un paquete unificado que ofrece funcionalidades avanzadas de seguridad de SQL. Expone y mitiga posibles vulnerabilidades de la base de datos y detecta actividades anómalas que podrían indicar una amenaza para la base de datos. Microsoft Defender para SQL se factura como se muestra en los detalles de precios por región.
(Directiva relacionada: Advanced Data Security debe estar habilitado en los servidores de SQL Server)
Alto
Microsoft Defender para SQL debe habilitarse en las instancias de SQL Managed Instance desprotegidas. Microsoft Defender para SQL es un paquete unificado que ofrece funcionalidades avanzadas de seguridad de SQL. Expone y mitiga posibles vulnerabilidades de la base de datos y detecta actividades anómalas que podrían indicar una amenaza para la base de datos. Microsoft Defender para SQL se factura como se muestra en los detalles de precios por región.
(Directiva relacionada: Advanced Data Security debe estar habilitado en Instancia administrada de SQL)
Alto
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas.
Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ninguna cuenta Azure Storage en esta suscripción, no se le cobrará. Si más adelante crea cuentas de Azure Storage en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región
Puede obtener más información en Introducción a Microsoft Defender para Storage.
(Directiva relacionada: se debe habilitar Azure Defender para Storage)
Alto
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión de nivel de escenario le permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Las herramientas de visualización y diagnóstico de red que incluye Network Watcher le ayudan a conocer, diagnosticar y obtener información acerca de cualquier red de Azure.
(Directiva relacionada: Network Watcher debe estar habilitado)
Bajo
Se deben investigar las identidades sobreaprovisionadas en las suscripciones para reducir el índice de pérdida de permisos (PCI). Se deben investigar las identidades sobreaprovisionadas en la suscripción para reducir el índice de creación de permisos (PCI) y proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. El PCI elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario.
(Ninguna directiva relacionada)
Media
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database.
(Directiva relacionada: Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas)
Media
El punto de conexión privado debe estar habilitado para servidores MariaDB Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB.
Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe estar habilitado para servidores MariaDB)
Media
El punto de conexión privado debe estar habilitado para servidores MySQL Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL.
Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe estar habilitado para servidores MySQL)
Media
El punto de conexión privado debe estar habilitado para servidores PostgreSQL Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL.
Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe estar habilitado para servidores PostgreSQL)
Media
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales.
(Directiva relacionada: Se debe deshabilitar el acceso de red público en Azure SQL Database)
Media
El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services Esta directiva audita las cuentas de Cognitive Services del entorno con acceso a la red pública habilitado. El acceso a la red pública debe estar deshabilitado, de forma que solo se permitan conexiones desde puntos de conexión privados.
(Directiva relacionada: Se debe deshabilitar el acceso de red público para las cuentas de Cognitive Services)
Media
El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual.
(Directiva relacionada: el acceso a redes públicas debe estar deshabilitado para los servidores de MariaDB)
Media
El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual.
(Directiva relacionada: el acceso a las redes públicas debe estar deshabilitado para los servidores de MySQL)
Media
El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual.
(Directiva relacionada: el acceso a redes públicas debe estar deshabilitado para los servidores de PostgreSQL)
Media
Redis Cache debe permitir el acceso solo mediante SSL. Habilite solo las conexiones a Redis Cache que pasan por SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión.
(Directiva relacionada: solo se deben habilitar conexiones seguras a la instancia de Azure Cache for Redis)
Alto
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. Más información
(Directiva relacionada: se deben corregir las vulnerabilidades de las bases de datos SQL)
Alto
Las instancias administradas de SQL deben tener configurada la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.
(Directiva relacionada: debe habilitarse la valoración de las vulnerabilidades en SQL Managed Instance)
Alto
Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. Más información
(Directiva relacionada: Es necesario corregir las vulnerabilidades de los servidores SQL en la máquina).
Alto
Los servidores SQL deben tener un administrador de Azure Active Directory aprovisionado. Aprovisione un administrador de Azure AD para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft.
(Directiva relacionada: debe aprovisionarse un administrador de Azure Active Directory para los servidores de SQL Server)
Alto
Los servidores de SQL deben tener configurada la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.
(Directiva relacionada: la valoración de las vulnerabilidades debe habilitarse en los servidores de SQL Server)
Alto
La cuenta de almacenamiento debería utilizar una conexión de vínculo privado Los vínculos privados aplican la comunicación segura al proporcionar conectividad privada a la cuenta de almacenamiento.
(Directiva relacionada: la cuenta de almacenamiento debe usar una conexión con un vínculo privado)
Media
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Para beneficiarse de las nuevas funcionalidades de Resource Manager, puede migrar las implementaciones existentes desde el modelo de implementación clásica. Resource Manager permite disfrutar de mejoras en la seguridad como: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en ARM, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Más información
(Directiva relacionada: las cuentas de almacenamiento se deben migrar a los nuevos recursos de Azure Resource Manager)
Bajo
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento.
(Directiva relacionada: las cuentas de almacenamiento deben restringir el acceso mediante el uso de las reglas de red virtual)
Media
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de su organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de sus suscripciones, establezca un contacto de seguridad para recibir notificaciones por correo electrónico de Defender for Cloud.
(Directiva relacionada: las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad)
Bajo
El cifrado de datos transparente en bases de datos SQL debe estar habilitado Habilite el cifrado de datos transparente para proteger los datos en reposo y cumplir los requisitos de cumplimiento
(Directiva relacionada: el cifrado de datos transparente en bases de datos SQL debe estar habilitado)
Bajo
Las plantillas de VM Image Builder deben usar Private Link Audite las plantillas de VM Image Builder que no tengan ninguna red virtual configurada. Cuando no se ha configurado una red virtual, se creará y usará una dirección IP pública en su lugar, que puede exponer recursos directamente a Internet y aumentar la superficie expuesta a ataques potencial.
(Directiva relacionada: las plantillas de Azure VM Image Builder deben usar un vínculo privado)
Media
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas.
(Directiva relacionada: Web Application Firewall (WAF) debe estar habilitado para Application Gateway)
Bajo
Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas.
(Directiva relacionada: Web Application Firewall (WAF) debe habilitarse para Azure Front Door Service)
Bajo

Recomendaciones de IdentityAndAccess

Hay 29 recomendaciones en esta categoría.

Recomendación Descripción severity
Es necesario designar un máximo de 3 propietarios para las suscripciones. Para reducir la posibilidad de que se produzcan vulneraciones en las cuentas de propietario en peligro, es aconsejable limitar el número de cuentas de propietario a un máximo de 3
(Directiva relacionada: se debe designar un máximo de tres propietarios para la suscripción)
Alto
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Si solo usa contraseñas para autenticar a sus usuarios, está dejando un vector de ataque abierto. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la Autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, una forma adicional de identificación. Por ejemplo, se puede enviar un código a su teléfono celular o se puede solicitar un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de propietario en los recursos de Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí: Administración del cumplimiento de la autenticación multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Alto
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Si solo usa contraseñas para autenticar a sus usuarios, está dejando un vector de ataque abierto. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la Autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, una forma adicional de identificación. Por ejemplo, se puede enviar un código a su teléfono celular o se puede solicitar un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de lectura en los recursos de Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí: Administración del cumplimiento de la autenticación multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Alto
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Si solo usa contraseñas para autenticar a sus usuarios, está dejando un vector de ataque abierto. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la Autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, una forma adicional de identificación. Por ejemplo, se puede enviar un código a su teléfono celular o se puede solicitar un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de escritura en los recursos de Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí: Administración del cumplimiento de la autenticación multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Alto
Las cuentas de Azure Cosmos DB deben usar Azure Active Directory como único método de autenticación. La mejor manera de autenticarse en los servicios de Azure es mediante control de acceso basado en rol (RBAC). RBAC le permite mantener el principio de privilegio mínimo y admite la capacidad de revocar permisos como un método eficaz de respuesta cuando se pone en peligro. Puede configurar la cuenta de Azure Cosmos DB para aplicar RBAC como único método de autenticación. Cuando se configura la aplicación, se denegarán todos los demás métodos de acceso (claves principales o secundarias y tokens de acceso).
(Ninguna directiva relacionada)
Media
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Las cuentas que se han bloqueado para iniciar sesión en Active Directory deben quitarse de los recursos de Azure. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Ninguna directiva relacionada)
Alto
Las cuentas bloqueadas con permisos de lectura y escritura en los recursos de Azure deberían quitarse Las cuentas que se han bloqueado para iniciar sesión en Active Directory deben quitarse de los recursos de Azure. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Ninguna directiva relacionada)
Alto
Las cuentas en desuso se deben quitar de las suscripciones. Las cuentas de usuario cuyo inicio de sesión se ha bloqueado deben quitarse de las suscripciones.
Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en desuso deben quitarse de la suscripción)
Alto
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción. Las cuentas de usuario cuyo inicio de sesión se ha bloqueado deben quitarse de las suscripciones.
Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en desuso con permisos de propietario deben quitarse de la suscripción)
Alto
Los registros de diagnóstico en Key Vault deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Key Vault deben habilitarse)
Bajo
Las cuentas externas con permisos de propietario deben quitarse de las suscripciones. Las cuentas con permisos de propietario que tienen nombres de dominio diferentes (cuentas externas) se deben eliminar de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas externas con permisos de propietario deben quitarse de la suscripción)
Alto
Las cuentas externas con permisos de lectura se deben quitar de las suscripciones. Las cuentas con permisos de lectura que tienen nombres de dominio diferentes (cuentas externas) se deben eliminar de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas externas con permisos de lectura se deben eliminar de la suscripción)
Alto
Las cuentas externas con permisos de escritura se deben quitar de las suscripciones. Las cuentas con permisos de escritura que tienen nombres de dominio diferentes (cuentas externas) se deben eliminar de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas externas con permisos de escritura deben quitarse de la suscripción)
Alto
El firewall debe estar habilitado en Key Vault El firewall del almacén de claves evita que el tráfico no autorizado lo alcance y proporciona una capa adicional de protección para los secretos. Habilite el firewall para asegurarse de que solo el tráfico de las redes permitidas pueda acceder al almacén de claves.
(Directiva relacionada: el firewall debe estar habilitado en Key Vault)
Media
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas con permisos de propietario que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Ninguna directiva relacionada)
Alto
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas con permisos de lectura que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Ninguna directiva relacionada)
Alto
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas con permisos de escritura que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados.
(Ninguna directiva relacionada)
Alto
Las claves de Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas.
(Directiva relacionada: las claves de Key Vault deben tener una fecha de expiración)
Alto
Los secretos de Key Vault deben tener una fecha de expiración Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos.
(Directiva relacionada: los secretos de Key Vault deben tener una fecha de expiración)
Alto
Los almacenes de claves deben tener habilitada la protección contra operaciones de purga La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar los almacenes de claves. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal.
(Directiva relacionada: los almacenes de claves deben tener habilitada la protección contra operaciones de purga)
Media
Los almacenes de claves deben tener habilitada la eliminación temporal Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable.
(Directiva relacionada: los almacenes de claves deben tener habilitada la eliminación temporal)
Alto
MFA debe estar habilitado en las cuentas con permisos de propietario en las suscripciones. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos.
(Directiva relacionada: debe habilitarse la autenticación multifactor en las cuentas con permisos de propietario de la suscripción)
Alto
MFA debe estar habilitado en las cuentas con permisos de lectura de las suscripciones. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.
(Directiva relacionada: debe habilitarse la autenticación multifactor en las cuentas con permisos de lectura de la suscripción)
Alto
MFA debe estar habilitado en las cuentas con permisos de escritura de las suscripciones. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.
(Directiva relacionada: debe habilitarse la autenticación multifactor en las cuentas con permisos de escritura de la suscripción)
Alto
Se debe habilitar Microsoft Defender para Key Vault Microsoft Defender for Cloud incluye Microsoft Defender para Key Vault, lo que proporciona una capa adicional de inteligencia de seguridad.
Microsoft Defender para Key Vault detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de Key Vault o de vulnerarlas.
Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ningún almacén de claves en esta suscripción, no se le cobrará. Si más adelante crea almacenes de claves en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región
Más información en Introducción a Microsoft Defender para Key Vault
(Directiva relacionada: se debe habilitar Azure Defender para Key Vault)
Alto
Se debe configurar un punto de conexión privado para Key Vault Private Link proporciona una manera de conectar Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos.
(Directiva relacionada: se debe configurar un punto de conexión privado para Key Vault)
Media
No se debe permitir el acceso público a la cuenta de almacenamiento El acceso de lectura público anónimo a contenedores y blobs en Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera.
(Directiva relacionada: no se debe permitir el acceso público a la cuenta de almacenamiento)
Media
Debe haber más de un propietario asignado a las suscripciones. Designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador.
(Directiva relacionada: debe hacer más de un propietario asignado a la suscripción)
Alto
El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses Asegúrese de que los certificados no tienen un período de validez que supere los 12 meses.
(Directiva relacionada: los certificados deben tener el periodo de máximo de validez que se haya especificado)
Media

Recomendaciones de IoT

Hay 4 recomendaciones en esta categoría.

Recomendación Descripción severity
La directiva del filtro de IP predeterminada debe ser Denegar. La configuración de filtro IP necesita tener reglas definidas para tráfico permitido y denegar de forma predeterminada el resto del tráfico.
(Ninguna directiva relacionada)
Media
Los registros de diagnóstico de IoT Hub deben estar habilitados Habilite los registros y consérvelos por hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de IoT Hub deben estar habilitados)
Bajo
Credenciales de autenticación idénticas Credenciales de autenticación idénticas para la instancia de IoT Hub utilizada por varios dispositivos. Esto puede indicar que hay un dispositivo ilegítimo que suplanta un dispositivo legítimo. También expone el riesgo de suplantación del dispositivo por parte de un atacante
(Ninguna directiva relacionada)
Alto
Intervalo IP amplio de la regla del filtro de IP. Un intervalo IP de origen de la regla de filtro IP permitido es demasiado grande. Las reglas excesivamente permisivas podrían exponer su instancia de IoT Hub a agentes malintencionados.
(Ninguna directiva relacionada)
Media

Recomendaciones de redes

Hay 13 recomendaciones en esta categoría.

Recomendación Descripción severity
Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall Examine los valores del acceso de red en la configuración del firewall de su cuenta de almacenamiento. Se recomienda configurar reglas de red de modo que solo las aplicaciones de redes permitidas puedan acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas.
(Directiva relacionada: se debe restringir el acceso de red a las cuentas de almacenamiento)
Bajo
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Defender for Cloud ha analizado los patrones de comunicación del tráfico de Internet de las máquinas virtuales que se indican a continuación y ha determinado que las reglas existentes de los grupos de seguridad de red asociados son excesivamente permisivas, lo que incrementa la posible superficie expuesta a ataques.
Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud. Más información en Mejora de la posición de seguridad de red con la protección de redes adaptativa
(Directiva relacionada: las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet)
Alto
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Defender for Cloud ha identificado que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos.
(Directiva relacionada: en los grupos de seguridad de red asociados a la máquina virtual, todos los puertos de red deben estar restringidos)
Alto
Azure DDoS Protection Standard debe estar habilitado Defender for Cloud ha detectado redes virtuales en las que el servicio de protección contra DDoS no protege recursos de Application Gateway. Estos recursos contienen direcciones IP públicas. Permita la mitigación de los ataques volumétricos de red y protocolo.
(Directiva relacionada: Azure DDoS Protection Estándar debe estar habilitado)
Media
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Para proteger su máquina virtual de posibles amenazas, limite el acceso a la misma con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, que se encuentran tanto en la misma subred como fuera de ella.
Para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred.
Las máquinas virtuales con una gravedad "Alta" son aquellas a las que se puede acceder desde Internet.
(Directiva relacionada: las máquinas virtuales a las que se puede acceder desde Internet deben estar protegidas con grupos de seguridad de red)
Alto
El reenvío de IP en la máquina virtual debe estar deshabilitado Defender for Cloud ha descubierto que el reenvío de IP está habilitado en algunas de las máquinas virtuales. Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo.
(Directiva relacionada: El reenvío de IP en la máquina virtual debe estar deshabilitado)
Media
Las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque Las condiciones de uso de Azure prohíben el uso de servicios de Azure de maneras que puedan dañar, deshabilitar, sobrecargar o afectar a cualquier servidor de Microsoft o a la red. Esta recomendación enumera los puertos expuestos que deben cerrarse para conseguir una seguridad continuada. También ilustra la amenaza potencial para cada puerto.
(Ninguna directiva relacionada)
Alto
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Defender for Cloud identificó en los puertos de administración del grupo de seguridad de red que algunas de las reglas de entrada son demasiado permisivas. Habilite el control de acceso Just-in-Time para proteger la máquina virtual frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información en Descripción del acceso a la máquina virtual Just-in-Time (JIT)
(Directiva relacionada: los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time)
Alto
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina
(Directiva relacionada: Los puertos de administración deben estar cerrados en las máquinas virtuales)
Media
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Para proteger de posibles amenazas a cualquier máquina virtual a la que no se pueda acceder desde Internet, limite el acceso a ella con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, independientemente de que se encuentren en la misma subred o fuera de ella.
Tenga en cuenta que para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred.
(Directiva relacionada: las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red)
Bajo
Se debe habilitar la transferencia segura a las cuentas de almacenamiento La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión.
(Directiva relacionada: se debe habilitar la transferencia segura a las cuentas de almacenamiento)
Alto
Las subredes deben estar asociadas con un grupo de seguridad de red Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. Cuando un grupo de seguridad de red está asociado a una subred, las reglas de ACL se aplican tanto a todas las instancias de la máquina virtual como a los servicios integrados de esa subred, pero no se aplican al tráfico interno de la subred. Para proteger los recursos de la misma subred entre sí, habilite el grupo de seguridad de red directamente en los recursos.
Tenga en cuenta que los siguientes tipos de subred se mostrarán como no aplicables: GatewaySubnet, AzureFirewallSubnet y AzureBastionSubnet.
(Directiva relacionada: las subredes deben estar asociadas con un grupo de seguridad de red)
Bajo
Azure Firewall debe proteger las redes virtuales Algunas de sus redes virtuales no están protegidas con un firewall. Use Azure Firewall para restringir el acceso a sus redes virtuales y evitar posibles amenazas. Más información acerca de Azure Firewall.
(Directiva relacionada: todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada)
Bajo

Recomendaciones en desuso

Recomendación Descripción y directiva relacionada severity
Se debe restringir el acceso a App Services Cambie la configuración de red para restringir el acceso a App Services y denegar el tráfico entrante desde intervalos demasiado amplios.
(Directiva relacionada [versión preliminar]: Se debe restringir el acceso a App Services).
Alto
Se deben proteger las reglas de las aplicaciones web en los NSG de IaaS Se ha protegido el grupo de seguridad de red (NSG) de las máquinas virtuales que ejecutan aplicaciones web con reglas de NSG que son demasiado permisivas con respecto a los puertos de la aplicación web.
(Directiva relacionada: Se deben proteger las reglas de NSG para las aplicaciones web en IaaS).
Alto
Las directivas de seguridad de pod deben definirse para reducir el vector de ataque mediante la eliminación de privilegios de aplicación innecesarios (versión preliminar) Defina las directivas de seguridad de pod para reducir el vector de ataque mediante la eliminación de privilegios de aplicación innecesarios. Se recomienda configurar las directivas de seguridad de pod para que los pods solo puedan obtener acceso a los recursos a los que se les permita el acceso.
(Directiva relacionada [versión preliminar]: Las directivas de seguridad de pod deben definirse en los servicios de Kubernetes).
Media
Instalación de Azure Security Center para el módulo de seguridad de IoT para obtener más visibilidad en los dispositivos de IoT Instale Azure Security Center para el módulo de seguridad de IoT con el fin de obtener una mayor visibilidad en los dispositivos de IoT. Bajo
Las máquinas deben reiniciarse para aplicar las actualizaciones del sistema Reinicie sus máquinas para aplicar las actualizaciones del sistema y protegerlas ante vulnerabilidades. (Directiva relacionada: Se deben instalar actualizaciones del sistema en las máquinas). Media
El agente de supervisión debe instalarse en las máquinas. Esta acción instala un agente de supervisión en las máquinas virtuales seleccionadas. Seleccione un área de trabajo a la que informará el agente. (Ninguna directiva relacionada) Alto

Pasos siguientes

Para obtener más información sobre las recomendaciones, consulte: