[En desuso]: Cognitive Services debe usar un vínculo privado |
Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. |
Audit, Disabled |
3.0.1-en desuso |
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento |
El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. |
audit, Audit, deny, Deny, disabled, Disabled |
3.1.0: versión preliminar |
Los servicios de API Management deben usar una red virtual |
La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. |
Audit, Deny, Disabled |
1.0.2 |
API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio |
Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. |
AuditIfNotExists, Disabled |
1.0.1 |
App Configuration debe usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. |
AuditIfNotExists, Disabled |
1.0.2 |
Los intervalos IP autorizados deben definirse en los servicios de Kubernetes |
Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. |
Audit, Disabled |
2.0.1 |
Los recursos de Servicios de Azure AI deben restringir el acceso a la red |
Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. |
Audit, Deny, Disabled |
3.2.0 |
Los recursos de Servicios de Azure AI deben usar Azure Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link reduce los riesgos de pérdida de datos mediante el control de la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Más información acerca de los vínculos privados en: https://aka.ms/AzurePrivateLink/Overview |
Audit, Disabled |
1.0.0 |
Azure Cache for Redis debe usar Private Link |
Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. |
AuditIfNotExists, Disabled |
1.0.0 |
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. |
Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. |
Audit, Deny, Disabled |
2.1.0 |
Azure Cosmos DB debe deshabilitar el acceso a la red pública |
Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. |
Audit, Deny, Disabled |
1.0.0 |
Los clústeres de Azure Databricks deben deshabilitar la IP pública |
Deshabilitar la IP pública de los clústeres en áreas de trabajo de Azure Databricks mejora la seguridad al garantizar que los clústeres no estén expuestos en la red pública de Internet. Más información en: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. |
Audit, Deny, Disabled |
1.0.1 |
Las áreas de trabajo de Azure Databricks deben estar en una red virtual |
Azure Virtual Network brinda seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Más información en: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. |
Audit, Deny, Disabled |
1.0.2 |
Azure Databricks Workspaces debería deshabilitar el acceso a la red pública |
Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Más información en: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. |
Audit, Deny, Disabled |
1.0.1 |
Las áreas de trabajo de Azure Databricks deben usar un vínculo privado |
Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. |
Audit, Disabled |
1.0.2 |
Los dominios de Azure Event Grid deben usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. |
Audit, Disabled |
1.0.2 |
Los temas de Azure Event Grid deben usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. |
Audit, Disabled |
1.0.2 |
Azure Key Vault debe tener el firewall habilitado |
Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security |
Audit, Deny, Disabled |
3.2.1 |
Las instancias de Azure Key Vault deben usar un vínculo privado |
Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. |
[parameters('audit_effect')] |
1.2.1 |
Los procesos de Azure Machine Learning deben estar en una red virtual |
Las instancias de Azure Virtual Network aportan mayor seguridad y aislamiento a sus instancias y clústeres de proceso de Azure Machine Learning, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual. |
Audit, Disabled |
1.0.1 |
Las áreas de trabajo de Azure Machine Learning deberían deshabilitar el acceso a la red pública |
Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Machine Learning no se exponga en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. |
Audit, Deny, Disabled |
2.0.1 |
Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. |
Audit, Disabled |
1.0.0 |
Azure SignalR Service debe usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. |
Audit, Disabled |
1.0.0 |
Azure Spring Cloud debe usar la inserción de red |
Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. |
Audit, Disabled, Deny |
1.2.0 |
Azure SQL Managed Instances debería deshabilitar el acceso a la red pública |
Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. |
Audit, Deny, Disabled |
1.0.0 |
Las instancias de Container Registry no deben permitir el acceso de red sin restricciones |
De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. |
Audit, Deny, Disabled |
2.0.0 |
Las instancias de Container Registry deben usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. |
Audit, Disabled |
1.0.1 |
Las cuentas de CosmosDB deben usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. |
Audit, Disabled |
1.0.0 |
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas |
Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. |
Audit, Disabled |
1.1.0 |
El punto de conexión privado debe estar habilitado para servidores MariaDB |
Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. |
AuditIfNotExists, Disabled |
1.0.2 |
El punto de conexión privado debe estar habilitado para servidores MySQL |
Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. |
AuditIfNotExists, Disabled |
1.0.2 |
El punto de conexión privado debe estar habilitado para servidores PostgreSQL |
Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. |
AuditIfNotExists, Disabled |
1.0.2 |
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database |
Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. |
Audit, Deny, Disabled |
1.1.0 |
El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB |
Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. |
Audit, Deny, Disabled |
2.0.0 |
El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL |
Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. |
Audit, Deny, Disabled |
2.0.0 |
El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL |
Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. |
Audit, Deny, Disabled |
2.0.1 |
Se debe restringir el acceso de red a las cuentas de almacenamiento |
El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. |
Audit, Deny, Disabled |
1.1.1 |
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual |
Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. |
Audit, Deny, Disabled |
1.0.1 |
Las cuentas de almacenamiento deben usar un vínculo privado. |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. |
AuditIfNotExists, Disabled |
2.0.0 |
Las plantillas de VM Image Builder deben usar Private Link |
Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. |
Audit, Disabled, Deny |
1.1.0 |