Controles de Cumplimiento normativo de Azure Policy para Azure Virtual Machines
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes
Cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas por Microsoft, conocidas como integraciones, para los dominios de cumplimiento y los controles de seguridad relativos a distintos estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure Virtual Machines. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
Australian Government ISM PROTECTED
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 415 | Identificación del usuario: 415 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 415 | Identificación del usuario: 415 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 415 | Identificación del usuario: 415 | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 415 | Identificación del usuario: 415 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 421 | Autenticación de factor único: 421 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 421 | Autenticación de factor único: 421 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 421 | Autenticación de factor único: 421 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 421 | Autenticación de factor único: 421 | Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | 3.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 445 | Acceso con privilegios a sistemas: 445 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 445 | Acceso con privilegios a sistemas: 445 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 445 | Acceso con privilegios a sistemas: 445 | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 445 | Acceso con privilegios a sistemas: 445 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la supervisión del sistema: registro de eventos y auditoría | 582 | Eventos que se registrarán: 582 | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 940 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 940 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para la criptografía: seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la criptografía: seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la criptografía: seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la criptografía: seguridad de la capa de transporte | 1139 | Uso de la seguridad de la capa de transporte: 1139 | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1144 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1144 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para las redes: diseño y configuración de red | 1182 | Controles de acceso a la red: 1182 | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Instrucciones para los sistemas de base de datos: servidores de bases de datos | 1277 | Comunicaciones entre servidores de bases de datos y servidores web: 1277 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para los sistemas de base de datos: servidores de bases de datos | 1277 | Comunicaciones entre servidores de bases de datos y servidores web: 1277 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para los sistemas de base de datos: servidores de bases de datos | 1277 | Comunicaciones entre servidores de bases de datos y servidores web: 1277 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para los sistemas de base de datos: servidores de bases de datos | 1277 | Comunicaciones entre servidores de bases de datos y servidores web: 1277 | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Instrucciones para las puertas de enlace: filtrado de contenido | 1288 | Examen antivirus: 1288 | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Instrucciones para la administración del sistema: administración del sistema | 1386 | Restricción de flujos de tráfico de administración: 1386 | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Instrucciones para la segurización del sistema: segurización del sistema operativo | 1417 | Software antivirus: 1417 | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1472 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1472 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1494 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1494 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1495 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1495 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1496 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Instrucciones para la administración de sistemas: revisión de sistemas | 1496 | Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a sistemas: 1503 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a sistemas: 1503 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a los sistemas: 1503 | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a sistemas: 1503 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1507 | Acceso con privilegios a sistemas: 1507 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1507 | Acceso con privilegios a sistemas: 1507 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1507 | Acceso con privilegios a sistemas: 1507 | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1507 | Acceso con privilegios a sistemas: 1507 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a sistemas: 1508 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a sistemas: 1508 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a los sistemas: 1508 | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a sistemas: 1508 | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a sistemas: 1508 | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Instrucciones para la administración del sistema: copia de seguridad y restauración de datos | 1511 | Realización de copias de seguridad: 1511 | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 1546 | Autenticación en sistemas: 1546 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 1546 | Autenticación en sistemas: 1546 | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 1546 | Autenticación en sistemas: 1546 | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 1546 | Autenticación en sistemas: 1546 | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| Instrucciones para la segurización del sistema: segurización de la autenticación | 1546 | Autenticación en sistemas: 1546 | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
Canada Federal PBMM
Para revisar cómo las integraciones de Azure Policy disponibles de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2,10 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la evaluación de vulnerabilidades" no sea "Deshabilitado". | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| 2 Security Center | 2,12 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el acceso de red JIT" no sea "Deshabilitado". | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 2 Security Center | 2.4 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las vulnerabilidades del sistema operativo" no sea "Deshabilitado". | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| 2 Security Center | 2.9 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado". | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| 7 Máquinas virtuales | 7.4 | Asegúrese de que solo están instaladas las extensiones aprobadas. | Solo deben instalarse las extensiones de máquina virtual aprobadas | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 7 Máquinas virtuales | 7.4 | Asegúrese de que solo están instaladas las extensiones aprobadas. | Solo deben instalarse las extensiones de máquina virtual aprobadas | 1.0.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Supervisar la falta de Endpoint Protection en Azure Security Center | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 7 Máquinas virtuales | 7.4 | Asegurarse de que solo estén instaladas las extensiones aprobadas | Solo deben instalarse las extensiones de máquina virtual aprobadas | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Asegúrese de que Microsoft Defender recomendación para el estado "Aplicar actualizaciones del sistema" sea "Completado" | Las máquinas deben configurarse para comprobar periódicamente si faltan actualizaciones del sistema | 3.7.0 |
| 6 | 6.1 | Asegurarse de que se ha evaluado y restringido el acceso RDP desde Internet | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| 6 | 6.2 | Asegúrese de que se ha evaluado y restringido el acceso SSH desde Internet | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| 7 | 7.2 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 7 | 7.4 | Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK) | Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | 1.0.0 |
| 7 | 7.5 | Asegurarse de que solo estén instaladas las extensiones aprobadas | Solo deben instalarse las extensiones de máquina virtual aprobadas | 1.0.0 |
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Control de acceso | AC.1.003 | Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Control de acceso | AC.2.007 | Utiliza el principio de privilegios mínimos (también con cuentas con privilegios y funciones de seguridad específicas). | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Control de acceso | AC.2.008 | Utiliza cuentas o roles sin privilegios para acceder a funciones que no son de seguridad. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | 3.0.0 |
| Control de acceso | AC.2.008 | Utiliza cuentas o roles sin privilegios para acceder a funciones que no son de seguridad. | Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | 3.0.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Control de acceso | AC.3.017 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | 2.0.0 |
| Control de acceso | AC.3.017 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Control de acceso | AC.3.018 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" | 3.0.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | La extensión "Configuración de invitado" debe estar instalada en las máquinas. | 1.0.3 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | 3.0.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | 3.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| Auditoría y responsabilidad | AU.3.046 | Alerta en caso de error en el proceso de registro de auditoría. | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | AU.3.048 | Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| Evaluación de la seguridad | CA.2.158 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de la seguridad | CA.3.161 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Administración de la configuración | CM.2.061 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. | 2.2.0 |
| Administración de la configuración | CM.2.062 | Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" | 3.0.0 |
| Administración de la configuración | CM.2.063 | Controla y supervisa el software instalado por el usuario. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | 3.0.0 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" | 3.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | 3.1.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | IA.1.077 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | 2.0.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | 2.1.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | IA.2.078 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | IA.2.079 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | IA.2.079 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | IA.2.079 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | 2.1.0 |
| Identificación y autenticación | IA.2.079 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | IA.2.079 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | IA.2.081 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | IA.2.081 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | IA.2.081 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| Identificación y autenticación | IA.2.081 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | IA.2.081 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | IA.3.084 | Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Recuperación | RE.2.137 | Ejecuta y prueba periódicamente copias de seguridad de los datos. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Recuperación | RE.2.137 | Ejecuta y prueba periódicamente copias de seguridad de los datos. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| Recuperación | RE.3.139 | Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Recuperación | RE.3.139 | Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.176 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.176 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.2.179 | Utiliza sesiones cifradas para administrar los dispositivos de red. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.185 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Protección del sistema y de las comunicaciones | SC.3.190 | Protege la autenticidad de las sesiones de comunicaciones. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Integridad del sistema y de la información | SI.1.211 | Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | SI.1.211 | Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Integridad del sistema y de la información | SI.1.212 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Identificación y autenticación de usuario | 11210.01q2Organizational.10 - 01.q | Las firmas electrónicas y las firmas manuscritas que se ejecuten en registros electrónicos se vincularán a los respectivos registros electrónicos. | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Identificación y autenticación de usuario | 11211.01q2Organizational.11 - 01.q | Los registros electrónicos firmados contendrán información asociada a la firma en un formato legible. | Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" | 3.0.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" | 3.0.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | 3.0.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" | 3.0.0 |
| 07 Administración de vulnerabilidades | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Administración de vulnerabilidades técnicas | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| 07 Administración de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| 07 Administración de vulnerabilidades | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Administración de vulnerabilidades técnicas | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Protección de red | 0805.01m1Organizational.12-01 - 01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0806.01m2Organizational.12356-01 - 01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| Protección de red | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Administración de seguridad de red | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" | 3.0.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | 3.0.0 |
| Protección de red | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Administración de seguridad de red | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Protección de red | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Administración de seguridad de red | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Copia de seguridad | 1699.09l1Organizational.10 - 09.l | Los roles y responsabilidades de los miembros del personal en el proceso de copia de seguridad de los datos se identifican y se comunican al personal; en concreto, los usuarios del programa Bring Your Own Device (BYOD) deben realizar copias de seguridad de los datos de clientes o de la organización en sus dispositivos. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza | 3.0.0 |
| 11 Control de acceso | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 11 Access Control | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 11 Control de acceso | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores | 2.0.0 |
| 11 Access Control | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Control de acceso al sistema operativo | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| 11 Control de acceso | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Control de acceso al sistema operativo | Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | 2.0.0 |
| 11 Control de acceso | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" | 3.0.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| 11 Access Control | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 11 Control de acceso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 11 Control de acceso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| 12 Registros de auditoría y supervisión | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Supervisión | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba | 2.0.0 |
| 12 Registros de auditoría y supervisión | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Supervisión | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| 12 Registros de auditoría y supervisión | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Supervisión | Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba | 2.0.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | 3.0.0 |
| 12 Registros de auditoría y supervisión | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedimientos operativos documentados | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | 3.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Copia de seguridad de la información | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" | 3.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
IRS 1075, septiembre de 2016
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.
ISO 27001:2013
Si desea ver la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013.
Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para obtener más información sobre este estándar de cumplimiento, consulte la cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.3: Claves administradas por el cliente | SO.3 | Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. | Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | 1.0.0 |
| SO.4: Computación confidencial de Azure | SO.4 | Los productos de Azure deben configurarse para usar las SKU de computación confidencial de Azure siempre que sea posible. | SKU de tamaño de máquina virtual permitidas | 1.0.1 |
Directivas globales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy para las directivas globales de la línea de base de MCfS. Para más información sobre este estándar de cumplimiento, vea Cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.5: Inicio seguro | SO.5 | Las máquinas virtuales deben configurarse con las SKU de Inicio seguro y el Inicio seguro habilitados siempre que sea posible. | Los discos y la imágenes del sistema operativo deben admitir TrustedLaunch | 1.0.0 |
| SO.5: Inicio seguro | SO.5 | Las máquinas virtuales deben configurarse con las SKU de Inicio seguro y el Inicio seguro habilitados siempre que sea posible. | Máquina virtual debe tener habilitado TrustedLaunch | 1.0.0 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-1 | Establecimiento de límites de segmentación de red | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Seguridad de redes | NS-1 | Establecimiento de límites de segmentación de red | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Seguridad de redes | NS-1 | Establecimiento de límites de segmentación de red | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Seguridad de redes | NS-3 | Implementación de un firewall en el perímetro de la red empresarial | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Seguridad de redes | NS-3 | Implementación de un firewall en el perímetro de la red empresarial | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Seguridad de redes | NS-3 | Implementación de un firewall en el perímetro de la red empresarial | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Administración de identidades | IM-3 | Administración de identidades de aplicaciones de forma segura y automática | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Administración de identidades | IM-6 | Uso de controles de autenticación sólida | La autenticación en máquinas Linux debe requerir claves SSH. | 3.2.0 |
| Administración de identidades | IM-8 | Restricción de la exposición de credenciales y secretos | Las máquinas deberían tener conclusiones de secretos resueltas | 1.0.2 |
| Acceso con privilegios | PA-2 | Evitar el acceso permanente en cuentas y permisos | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Protección de datos | DP-4 | Habilitación del cifrado de datos en reposo de manera predeterminada | Máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | 1.2.1 |
| Protección de datos | DP-4 | Habilitación del cifrado de datos en reposo de manera predeterminada | Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | 1.0.0 |
| Protección de datos | DP-4 | Habilitación del cifrado de datos en reposo de manera predeterminada | Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost. | 1.1.1 |
| Administración de recursos | AM-2 | Uso exclusivo de los servicios aprobados | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| registro y detección de amenazas | LT-1 | Habilitación de capacidades de detección de amenazas | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y accesos | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| registro y detección de amenazas | LT-4 | Habilitación del registro de red para la investigación de seguridad | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| registro y detección de amenazas | LT-4 | Habilitación del registro de red para la investigación de seguridad | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | 6.0.0 (preliminar) |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | 5.1.0-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | 3.1.0: versión preliminar |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | 1.0.0-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | 2.0.0-preview |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | 2.2.0 |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| administración de posturas y vulnerabilidades | PV-4 | Auditoría y aplicación de configuraciones seguras para los recursos de proceso | Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | 2.0.0 |
| administración de posturas y vulnerabilidades | PV-5 | Realización de evaluaciones de vulnerabilidades | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| administración de posturas y vulnerabilidades | PV-5 | Realización de evaluaciones de vulnerabilidades | Las máquinas deberían tener conclusiones de secretos resueltas | 1.0.2 |
| administración de posturas y vulnerabilidades | PV-6 | Reparación rápida y automática de vulnerabilidades | Las máquinas deben configurarse para comprobar periódicamente si faltan actualizaciones del sistema | 3.7.0 |
| administración de posturas y vulnerabilidades | PV-6 | Reparación rápida y automática de vulnerabilidades | Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | 1.0.0 |
| administración de posturas y vulnerabilidades | PV-6 | Reparación rápida y automática de vulnerabilidades | Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | 1.0.1 |
| administración de posturas y vulnerabilidades | PV-6 | Reparación rápida y automática de vulnerabilidades | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| seguridad de los puntos de conexión | ES-2 | Uso de software anti-malware moderno | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| Copia de seguridad y recuperación | BR-1 | Garantía de copias de seguridad automáticas periódicas | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| Copia de seguridad y recuperación | BR-2 | Protección de datos de recuperación y copia de seguridad | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | La autenticación en máquinas Linux debe requerir claves SSH. | 3.2.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Control de acceso | 3.1.13 | Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Control de acceso | 3.1.14 | Enruta el acceso remoto a través de puntos de control de acceso administrados. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | 2.0.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | 2.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | 1.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | 1.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | 1.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | 1.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| Integridad del sistema y de la información | 3.14.5 | Realizar exámenes periódicos de los sistemas de la organización y exámenes en tiempo real de los archivos de orígenes externos, a medida que los archivos se descargan, abren o ejecutan. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| Integridad del sistema y de la información | 3.14.5 | Realizar exámenes periódicos de los sistemas de la organización y exámenes en tiempo real de los archivos de orígenes externos, a medida que los archivos se descargan, abren o ejecutan. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| Integridad del sistema y de la información | 3.14.5 | Realizar exámenes periódicos de los sistemas de la organización y exámenes en tiempo real de los archivos de orígenes externos, a medida que los archivos se descargan, abren o ejecutan. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Las máquinas virtuales deben conectarse a un área de trabajo especificada. | 1.1.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. | 2.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | 2.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | 2.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | 2.0.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | 3.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | 3.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | La autenticación en máquinas Linux debe requerir claves SSH. | 3.2.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | 3.5.4 | Usar mecanismos de autenticación resistentes a la reproducción para acceder a la red en cuentas privilegiadas y sin privilegios. | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | 3.0.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | 2.0.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | 2.1.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Identificación y autenticación | 3.5.8 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Identificación y autenticación | 3.5.8 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Identificación y autenticación | 3.5.8 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | 2.1.0 |
| Identificación y autenticación | 3.5.8 | Prohíbe la reutilización de contraseñas para un número especificado de generaciones. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| Protección de elementos multimedia | 3.8.9 | Proteger la confidencialidad de CUI de copia de seguridad en las ubicaciones de almacenamiento. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones no se instalan más tarde de una semana. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones no se instalan más tarde de una semana. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones no se instalan más tarde de una semana. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| C.04.8 Administración técnica de vulnerabilidades: evaluada | C.04.8 | Los informes de evaluación contienen sugerencias para mejorar y se comunican con administradores o propietarios. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| C.04.8 Administración técnica de vulnerabilidades: evaluada | C.04.8 | Los informes de evaluación contienen sugerencias para mejorar y se comunican con administradores o propietarios. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| U.03.1 Servicios de continuidad empresarial: redundancia | U.03.1 | La continuidad acordada está garantizada por funciones del sistema suficientemente lógicas o físicamente múltiples. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.03.1 Servicios de continuidad empresarial: redundancia | U.03.1 | La continuidad acordada está garantizada por funciones del sistema suficientemente lógicas o físicamente múltiples. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| U.03.2 Servicios de continuidad empresarial: requisitos de continuidad | U.03.2 | La arquitectura del sistema garantiza los requisitos de continuidad de los servicios en la nube acordados con el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.03.2 Servicios de continuidad empresarial: requisitos de continuidad | U.03.2 | La arquitectura del sistema garantiza los requisitos de continuidad de los servicios en la nube acordados con el CSC. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| U.04.1 Recuperación de datos y servicios en la nube: función Restaurar | U.04.1 | Los datos y los servicios en la nube se restauran dentro del período acordado y la pérdida máxima de datos y están disponibles para el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.04.2 Recuperación de datos y servicios en la nube: función Restaurar | U.04.2 | Se supervisa el proceso continuo de protección recuperable de los datos. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.04.3 Recuperación de datos y servicios en la nube: probado | U.04.3 | El funcionamiento de las funciones de recuperación se prueba periódicamente y los resultados se comparten con el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | 6.0.0 (preliminar) |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | 5.1.0-preview |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | 3.1.0: versión preliminar |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | 2.0.0-preview |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | 1.0.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | 3.0.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | 1.0.0 |
| U.07.1 Separación de datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los recursos de acceso al disco deben usar un vínculo privado | 1.0.0 |
| U.07.1 Separación de datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Se deben cerrar los puertos de administración en las máquinas virtuales | 3.0.0 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | 2.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la política de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| U.11.1 Criptoservicios: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| U.11.2 Criptoservicios: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | 6.0.0 (preliminar) |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | 5.1.0-preview |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | 3.1.0: versión preliminar |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | 4.0.0-preview |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | 2.0.0-preview |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | 1.0.0 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | 3.0.0 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre están encriptados, con claves privadas administradas por el CSC. | Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | 1.0.0 |
| U.12.1 Interfaces: conexiones de red | U.12.1 | En puntos de conexión con zonas externas o que no son de confianza, se toman medidas contra ataques. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| U.12.1 Interfaces: conexiones de red | U.12.1 | En puntos de conexión con zonas externas o que no son de confianza, se toman medidas contra ataques. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| U.12.2 Interfaces: conexiones de red | U.12.2 | Los componentes de red son tales que las conexiones de red entre redes de confianza y que no son de confianza son limitadas. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| U.12.2 Interfaces: conexiones de red | U.12.2 | Los componentes de red son tales que las conexiones de red entre redes de confianza y que no son de confianza son limitadas. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada | 2.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | 2.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | La extensión "Configuración de invitado" debe estar instalada en las máquinas | 1.0.3 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | 1.0.1 |
| U.15.3 Registro y supervisión: eventos registrados | U.15.3 | CSP mantiene una lista de todos los recursos que son críticos en términos de registro y supervisión y revisa esta lista. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| U.15.3 Registro y supervisión: eventos registrados | U.15.3 | CSP mantiene una lista de todos los recursos que son críticos en términos de registro y supervisión y revisa esta lista. | Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada | 2.0.0 |
| U.15.3 Registro y supervisión: eventos registrados | U.15.3 | CSP mantiene una lista de todos los recursos que son críticos en términos de registro y supervisión y revisa esta lista. | Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | 2.0.0 |
| U.15.3 Registro y supervisión: eventos registrados | U.15.3 | CSP mantiene una lista de todos los recursos que son críticos en términos de registro y supervisión y revisa esta lista. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| U.17.1 Arquitectura multiinquilino: cifrado | U.17.1 | Los datos de CSC en transporte y en reposo están cifrados. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.17.1 Arquitectura multiinquilino: cifrado | U.17.1 | Los datos de CSC en transporte y en reposo están cifrados. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
PCI DSS 3.2.1
Para revisar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte PCI DSS 3.2.1. Para más información sobre este estándar de cumplimiento, consulte PCI DSS 3.2.1.
PCI DSS v4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy de PCI DSS v4.0. Para más información sobre este estándar de cumplimiento, vea PCI DSS v4.0.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.3.2 | El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.3 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | 1.0.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.3 | Las vulnerabilidades de seguridad se identifican y se abordan | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.3 | Las vulnerabilidades de seguridad se identifican y se abordan | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.1 | Las aplicaciones web de acceso público están protegidas contra ataques | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.1 | Las aplicaciones web de acceso público están protegidas contra ataques | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | 2.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | 2.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | 2.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
SWIFT CSP CSCF v2022
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.3 | Proteja la plataforma virtual y las máquinas virtuales (VM) que hospedan componentes relacionados con SWIFT en el mismo nivel que los sistemas físicos. | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | El reenvío de IP en la máquina virtual debe estar deshabilitado | 3.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | La autenticación en máquinas Linux debe requerir claves SSH. | 3.2.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Auditar las VM Windows con un reinicio pendiente | 2.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | 3.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | 2.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4A | Seguridad del flujo de datos administrativo | La autenticación en máquinas Linux debe requerir claves SSH. | 3.2.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4A | Seguridad del flujo de datos administrativo | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | 4.1.1 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | 3.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | 3.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | 3.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Auditar las máquinas virtuales que no utilizan discos administrados | 1.0.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | 3.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas Linux que tengan cuentas sin contraseña | 3.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | 2.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | 2.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | 2.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | 2.0.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | 2.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | 3.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | 2.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 5. Administrar identidades y segregar privilegios | 5.2 | Asegúrese de que la administración, el seguimiento y el uso correctos de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens). | Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | 3.0.0 |
| 5. Administrar identidades y segregar privilegios | 5.4 | Proteja física y lógicamente el repositorio de contraseñas grabadas. | Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | 2.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | 2.0.1-preview |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | 4.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | 4.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Azure Backup debe estar habilitado para Virtual Machines. | 3.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | 1.2.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | 2.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | 1.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Las máquinas virtuales deben tener la extensión de Log Analytics instalada | 1.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | 1.0.2-preview |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | 1.0.2-preview |
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
UK OFFICIAL y UK NHS
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte UK OFFICIAL.
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.