Detalles de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark 1.1.0.

En el siguiente artículo se detalla la correspondencia entre los dominios de cumplimiento y los controles de la definición de la iniciativa integrada del cumplimiento normativo de Azure Policy en CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark 1.1.0. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.

Las siguientes asignaciones son para los controles de CIS Microsoft Azure Foundations Benchmark 1.1.0. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark 1.0.

Esta iniciativa integrada se implementa como parte del ejemplo de plano técnico de CIS Microsoft Azure Foundations Benchmark 1.1.0.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

1 Administración de identidades y acceso

Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios con privilegios.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.10 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.11 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.12 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.13 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

Asegurarse de que "Los invitados pueden invitar" esté establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.14 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.15 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

Asegurarse de que "Administración de grupos de autoservicio habilitada" está establecida en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.16 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegurarse de que "Los usuarios pueden crear grupos de seguridad" esté establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.17 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegurarse de que "Usuarios que pueden administrar los grupos de seguridad" esté establecido en "Ninguno".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.18 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegurarse de que "Los usuarios pueden crear grupos de Office 365" esté establecido en "No".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.19 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios sin privilegios.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0

Asegurarse de que "Usuarios que pueden administrar los grupos de Office 365" esté establecido en "Ninguno"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.20 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.22 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Satisfacer los requisitos de calidad del token CMA_0487: Satisfacer los requisitos de calidad del token Manual, Deshabilitado 1.1.0

Asegúrese de que no existe ningún rol de propietario de suscripción personalizado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.23 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegúrese de que no hay ningún usuario invitado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0

Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Satisfacer los requisitos de calidad del token CMA_0487: Satisfacer los requisitos de calidad del token Manual, Deshabilitado 1.1.0

Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0

Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0

Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.9 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

2 Security Center

Asegúrese de que el plan de tarifa estándar está seleccionado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores de Azure SQL Database Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores SQL Server en las máquinas Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Microsoft Defender para contenedores debería estar habilitado Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. AuditIfNotExists, Disabled 1.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la evaluación de vulnerabilidades" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.10 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0

Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de Storage Blob" no sea "Deshabilitado"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.11 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el acceso de red JIT" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.12 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Monitor Adaptive Application Whitelisting" (Supervisar las listas blancas de aplicaciones adaptables) no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.13 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.14 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
La auditoría de SQL Server debe estar habilitada La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 2.0.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.15 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0

Asegúrese de que se ha establecido "Correos electrónicos de contacto de seguridad".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.16 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1

Asegúrese de que "Enviar notificaciones sobre alertas de gravedad alta por correo electrónico" se ha establecido en "Activado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.18 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1

Asegúrese de que "Enviar correo electrónico también a los propietarios de la suscripción" esté establecido en "Activado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.19 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0

Asegúrese de que "Aprovisionamiento automático del agente de supervisión" esté establecido en "Activado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. AuditIfNotExists, Disabled 1.0.1
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las actualizaciones del sistema" no es "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las vulnerabilidades del sistema operativo" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar los grupos de seguridad de red" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0

Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el firewall de aplicaciones web" no sea "Deshabilitada"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.9 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0

3 Cuentas de almacenamiento

Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0

Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0

Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegurarse de que los tokens de firma de acceso compartido expiren en una hora

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Finalizar sesión de usuario automáticamente CMA_C1054: Finalizar la sesión de usuario automáticamente Manual, Deshabilitado 1.1.0

Asegurarse de que los tokens de firma de acceso compartido se permiten solo mediante https

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. audit, Audit, deny, Deny, disabled, Disabled 3.1.0: versión preliminar
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

Asegúrese de que la regla de acceso de red predeterminada para las cuentas de almacenamiento esté configurada para denegar.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1

Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. Audit, Deny, Disabled 1.0.0

4 Servicios de base de datos

Asegúrese de que la opción "Auditando" esté establecida en "Activada".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
La auditoría de SQL Server debe estar habilitada La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 2.0.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave).

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.10 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.1

Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.11 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.12 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints. AuditIfNotExists, Disabled 1.0.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.13 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.14 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections. AuditIfNotExists, Disabled 1.0.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.15 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL. Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections. AuditIfNotExists, Disabled 1.0.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que "log_duration" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.16 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.17 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
La limitación de conexiones debe estar habilitada para los servidores de bases de datos PostgreSQL Esta directiva permite realizar una auditoría de las bases de datos de PostgreSQL del entorno sin la limitación de conexiones habilitada. Esta configuración habilita la limitación de conexiones temporales por IP si hay demasiados errores de inicio de sesión con una contraseña no válida. AuditIfNotExists, Disabled 1.0.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.18 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que el administrador de Azure Active Directory está configurado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.19 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0

Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas La propiedad AuditActionsAndGroups debe contener al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantizar un registro de auditoría exhaustivo. AuditIfNotExists, Disabled 1.0.0

Asegúrese de que la retención de "Auditoría" sea "más de 90 días".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. AuditIfNotExists, Disabled 3.0.0

Asegúrese de que "Advanced Data Security" en un servidor SQL Server esté establecido en "Activado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas Auditoría de los servidores de SQL sin Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0

Asegúrese de que "Tipos de detección de amenazas" esté establecido en "Todo".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0

Asegúrese de que "Enviar alertas a" esté establecido.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que la configuración de "Servicio de correo electrónico y coadministradores" sea "Habilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que el administrador de Azure Active Directory está configurado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0

Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.9 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0

5 Registro y supervisión

Asegúrese de que existe un perfil de registro.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. AuditIfNotExists, Disabled 1.0.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que el período de retención del registro de actividad está establecido en 365 días o más.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El registro de actividad debe conservarse durante al menos un año Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). AuditIfNotExists, Disabled 1.0.0
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que el perfil de auditoría captura todas las actividades.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. audit, Audit, deny, Deny, disabled, Disabled 3.1.0: versión preliminar
Habilitar la autorización doble o conjunta CMA_0226: Habilitar la autorización doble o conjunta Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave).

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Habilitar la autorización doble o conjunta CMA_0226: Habilitar la autorización doble o conjunta Manual, Deshabilitado 1.1.0
Mantener la integridad del sistema de auditoría CMA_C1133: Mantener la integridad del sistema de auditoría Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Asegúrese de que el registro de Azure KeyVault esté habilitado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 3.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

Asegúrese de que existe una alerta de registro de actividad para la actualización de la directiva de seguridad.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.9 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

6 Redes

Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP).

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0

Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

Asegúrese de que Network Watcher está "Habilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Comprobar las funciones de seguridad CMA_C1708: Comprobar las funciones de seguridad Manual, Deshabilitado 1.1.0

7 Máquinas virtuales

Asegúrese de que "Disco del SO" esté cifrado.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Asegúrese de que la opción "Discos de datos" esté cifrada.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Asegúrese de que la opción "Unattached disks" (Discos no asignados) esté cifrada.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0

Asegúrese de que solo están instaladas las extensiones aprobadas.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solo deben instalarse las extensiones de máquina virtual aprobadas Esta directiva rige las extensiones de máquina virtual que no están aprobadas. Audit, Deny, Disabled 1.0.0

Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

8 Otras consideraciones de seguridad

Asegúrese de que la fecha de expiración se haya establecida en todas las claves

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Las claves de Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.2
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0

Asegúrese de que la fecha de expiración se haya establecido en todos los secretos

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Los secretos de Key Vault deben tener una fecha de expiración Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. Audit, Deny, Disabled 1.0.2
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0

Asegurarse de que se han establecido los bloqueos de recursos para recursos de Azure de misión crítica

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0

Asegúrese de que el almacén de claves se puede recuperar.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. Audit, Deny, Disabled 1.0.0
Los almacenes de claves deben tener habilitada la protección contra eliminación La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. Audit, Deny, Disabled 2.1.0
Mantener la disponibilidad de la información CMA_C1644: Mantener la disponibilidad de la información Manual, Deshabilitado 1.1.0

Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.3
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

9 AppService

Asegúrese de que la autenticación de App Service está establecida en Azure App Service.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben tener activada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. AuditIfNotExists, Disabled 2.0.1
Autenticación para el módulo criptográfico CMA_0021: Autenticar para el módulo criptográfico Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben tener habilitada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. AuditIfNotExists, Disabled 3.0.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.10 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben utilizar la última "versión HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[En desuso]: Las aplicaciones de funciones deben tener habilitado "Certificados de cliente (certificados de cliente entrantes)" Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque Http 2.0 no admite certificados de cliente. Audit, Disabled 3.1.0-desusado
Las aplicaciones de App Service deben tener habilitados los certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Autenticación para el módulo criptográfico CMA_0021: Autenticar para el módulo criptográfico Manual, Deshabilitado 1.1.0

Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0

Asegúrese de que la versión de ".NET Framework" es la más reciente, si se usa como parte de la aplicación web.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

Asegúrese de que la "Versión de PHP" es la más reciente si se usa para ejecutar la aplicación web.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

Asegúrese de que la "Versión de Python" es la más reciente si se usa para ejecutar la aplicación web.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

Asegúrese de que la "Versión de Java" es la más reciente si se usa para ejecutar la aplicación web.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.9 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy: