Controles de Cumplimiento normativo de Azure Policy para Azure Virtual Machines

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

Cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas por Microsoft, conocidas como integraciones, para los dominios de cumplimiento y los controles de seguridad relativos a distintos estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure Virtual Machines. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.

El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.

Importante

Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.

Australian Government ISM PROTECTED

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 415 Identificación del usuario: 415 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 415 Identificación del usuario: 415 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 415 Identificación del usuario: 415 Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 415 Identificación del usuario: 415 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la segurización del sistema: segurización de la autenticación 421 Autenticación de factor único: 421 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 421 Autenticación de factor único: 421 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 421 Autenticación de factor único: 421 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la segurización del sistema: segurización de la autenticación 421 Autenticación de factor único: 421 Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" 3.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 445 Acceso con privilegios a sistemas: 445 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 445 Acceso con privilegios a sistemas: 445 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 445 Acceso con privilegios a sistemas: 445 Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 445 Acceso con privilegios a sistemas: 445 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la criptografía: fundamentos criptográficos 459 Cifrado de datos en reposo: 459 Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Instrucciones para la supervisión del sistema: registro de eventos y auditoría 582 Eventos que se registrarán: 582 Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Instrucciones para la administración de sistemas: revisión de sistemas 940 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 940 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 940 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 940 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la criptografía: seguridad de la capa de transporte 1139 Uso de la seguridad de la capa de transporte: 1139 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la criptografía: seguridad de la capa de transporte 1139 Uso de la seguridad de la capa de transporte: 1139 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la criptografía: seguridad de la capa de transporte 1139 Uso de la seguridad de la capa de transporte: 1139 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la criptografía: Seguridad de la capa de transporte 1139 Uso de la seguridad de la capa de transporte: 1139 Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1144 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1144 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1144 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1144 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para las redes: diseño y configuración de red 1182 Controles de acceso a la red: 1182 Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Instrucciones para las redes: diseño y configuración de red 1182 Controles de acceso a la red: 1182 Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Instrucciones para los sistemas de base de datos: servidores de bases de datos 1277 Comunicaciones entre servidores de bases de datos y servidores web: 1277 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para los sistemas de base de datos: servidores de bases de datos 1277 Comunicaciones entre servidores de bases de datos y servidores web: 1277 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para los sistemas de base de datos: servidores de bases de datos 1277 Comunicaciones entre servidores de bases de datos y servidores web: 1277 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para los sistemas de base de datos: servidores de bases de datos 1277 Comunicaciones entre servidores de bases de datos y servidores web: 1277 Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Instrucciones para las puertas de enlace: filtrado de contenido 1288 Examen antivirus: 1288 La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Instrucciones para las puertas de enlace: filtrado de contenido 1288 Examen antivirus: 1288 La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. 1.1.0
Instrucciones para las puertas de enlace: filtrado de contenido 1288 Examen antivirus: 1288 Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Instrucciones para la administración del sistema: administración del sistema 1386 Restricción de flujos de tráfico de administración: 1386 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1407 Versiones del sistema operativo: 1407 Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1407 Versiones del sistema operativo: 1407 Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1417 Software antivirus: 1417 La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1417 Software antivirus: 1417 La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. 1.1.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1417 Software antivirus: 1417 Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Instrucciones para los sistemas de base de datos: servidores de bases de datos 1425 Protección del contenido del servidor de bases de datos: 1425 Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Instrucciones para la administración de sistemas: revisión de sistemas 1472 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1472 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1472 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1472 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la segurización del sistema: segurización del sistema operativo 1490 Control de aplicaciones: 1490 Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1494 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1494 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1494 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1494 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1495 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1495 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1495 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1495 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1496 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1496 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1496 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Instrucciones para la administración de sistemas: revisión de sistemas 1496 Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1503 Acceso estándar a sistemas: 1503 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1503 Acceso estándar a sistemas: 1503 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1503 Acceso estándar a sistemas: 1503 Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1503 Acceso estándar a sistemas: 1503 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1507 Acceso con privilegios a sistemas: 1507 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1507 Acceso con privilegios a sistemas: 1507 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1507 Acceso con privilegios a sistemas: 1507 Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1507 Acceso con privilegios a sistemas: 1507 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1508 Acceso con privilegios a sistemas: 1508 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1508 Acceso con privilegios a sistemas: 1508 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1508 Acceso con privilegios a sistemas: 1508 Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1508 Acceso con privilegios a sistemas: 1508 Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos 1508 Acceso con privilegios a sistemas: 1508 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Instrucciones para la administración del sistema: copia de seguridad y restauración de datos 1511 Realización de copias de seguridad: 1511 Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 1546 Autenticación en sistemas: 1546 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 1546 Autenticación en sistemas: 1546 Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 1546 Autenticación en sistemas: 1546 Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 1546 Autenticación en sistemas: 1546 Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Instrucciones para la segurización del sistema: segurización de la autenticación 1546 Autenticación en sistemas: 1546 Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0

Prueba comparativa de la seguridad de Azure

Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver cómo este servicio se asigna por completo a Azure Security Benchmark, consulte los archivos de asignación de Az Security Benchmark.

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Azure Security Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Seguridad de redes NS-1 Establecimiento de límites de segmentación de red Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Seguridad de redes NS-1 Establecimiento de límites de segmentación de red Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Seguridad de redes NS-1 Establecimiento de límites de segmentación de red Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Seguridad de redes NS-1 Establecimiento de límites de segmentación de red Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Seguridad de redes NS-3 Implementación de un firewall en el perímetro de la red empresarial El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Seguridad de redes NS-3 Implementación de un firewall en el perímetro de la red empresarial Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Seguridad de redes NS-3 Implementación de un firewall en el perímetro de la red empresarial Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Seguridad de redes NS-7 Simplificación de la configuración de seguridad de la red Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Administración de identidades IM-3 Administración de identidades de aplicaciones de forma segura y automática La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Administración de identidades IM-6 Uso de controles de autenticación sólida La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Acceso con privilegios PA-2 Evitar el acceso permanente en cuentas y permisos Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección de datos DP-3 Cifrar los datos confidenciales en tránsito Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección de datos DP-4 Habilitación del cifrado de datos en reposo de manera predeterminada Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Administración de recursos AM-2 Uso exclusivo de los servicios aprobados
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Administración de recursos AM-5 Uso exclusivo de aplicaciones aprobadas en una máquina virtual Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de recursos AM-5 Uso exclusivo de aplicaciones aprobadas en una máquina virtual Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
registro y detección de amenazas LT-1 Habilitación de las funcionalidades de detección de amenazas La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
registro y detección de amenazas LT-2 Habilitación de la detección de amenazas para la administración de identidades y acceso La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
registro y detección de amenazas LT-3 Habilitación del registro para la investigación de seguridad Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
registro y detección de amenazas LT-4 Habilitación del registro de red para la investigación de seguridad
[Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
registro y detección de amenazas LT-4 Habilitación del registro de red para la investigación de seguridad
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
registro y detección de amenazas LT-5 Centralizar la administración y el análisis de los registros de seguridad El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
registro y detección de amenazas LT-5 Centralizar la administración y el análisis de los registros de seguridad El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas 5.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos 4.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas 3.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos 2.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas 3.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas 2.0.0-preview
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso La extensión "Configuración de invitado" debe estar instalada en las máquinas 1.0.2
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure 2.0.0
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
administración de posturas y vulnerabilidades PV-4 Auditoría y aplicación de configuraciones seguras para los recursos de proceso Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure 2.0.0
administración de posturas y vulnerabilidades PV-5 Realización de evaluaciones de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades [Versión preliminar]: las máquinas deben configurarse para comprobar periódicamente si faltan actualizaciones del sistema 1.0.0-preview
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades [Preview]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) 1.0.0-preview
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
seguridad de los puntos de conexión ES-2 Uso de software anti-malware moderno Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas 1.0.0
seguridad de los puntos de conexión ES-2 Uso de software anti-malware moderno La protección de los puntos de conexión debe instalarse en las máquinas 1.0.0
seguridad de los puntos de conexión ES-2 Uso de software anti-malware moderno La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
seguridad de los puntos de conexión ES-2 Uso de software anti-malware moderno Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
seguridad de los puntos de conexión ES-2 Uso de software anti-malware moderno La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
seguridad de los puntos de conexión ES-3 Asegúrese de que se han actualizado el software y las firmas antimalware Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas 1.0.0
Copia de seguridad y recuperación BR-1 Garantía de copias de seguridad automáticas periódicas Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Copia de seguridad y recuperación BR-2 Protección de datos de recuperación y copia de seguridad Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Seguridad de DevOps DS-6 Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0

Azure Security Benchmark v1

Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver cómo este servicio se asigna por completo a Azure Security Benchmark, consulte los archivos de asignación de Az Security Benchmark.

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Azure Security Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Seguridad de redes 1.1 Proteja los recursos mediante grupos de seguridad de red o Azure Firewall en su red virtual Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Seguridad de redes 1.1 Proteja los recursos mediante grupos de seguridad de red o Azure Firewall en su red virtual Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Seguridad de redes 1.1 Proteja los recursos mediante grupos de seguridad de red o Azure Firewall en su red virtual El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Seguridad de redes 1.1 Proteja los recursos mediante grupos de seguridad de red o Azure Firewall en su red virtual Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Seguridad de redes 1.1 Proteja los recursos mediante grupos de seguridad de red o Azure Firewall en su red virtual Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" 3.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" 3.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Seguridad de redes 1.11 Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Seguridad de redes 1.4 Deniegue las comunicaciones con direcciones IP malintencionadas conocidas Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Seguridad de redes 1.4 Deniegue las comunicaciones con direcciones IP malintencionadas conocidas Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Registro y supervisión 2.2 Configuración de la administración central de registros de seguridad Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba 2.0.0
Registro y supervisión 2.2 Configuración de la administración central de registros de seguridad La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Registro y supervisión 2.2 Configuración de la administración central de registros de seguridad Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Registro y supervisión 2.3 Habilitación del registro de auditoría para recursos de Azure Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Registro y supervisión 2.4 Recopilación de registros de seguridad de sistemas operativos Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba 2.0.0
Registro y supervisión 2.4 Recopilación de registros de seguridad de sistemas operativos La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Registro y supervisión 2.4 Recopilación de registros de seguridad de sistemas operativos Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Registro y supervisión 2.8 Centralización del registro antimalware La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Registro y supervisión 2.8 Centralización del registro antimalware Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Registro y supervisión 2.8 Centralización del registro antimalware Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Identidad y Access Control 3.3 Use cuentas administrativas dedicadas Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Identidad y Access Control 3.3 Use cuentas administrativas dedicadas Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores 2.0.0
Identidad y Access Control 3.3 Use cuentas administrativas dedicadas Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Protección de datos 4.8 Cifrado de información confidencial en reposo [En desuso]: Los discos sin asignar deben cifrarse 1.0.0 (en desuso)
Protección de datos 4.8 Cifrado de información confidencial en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Administración de vulnerabilidades 5,1 Ejecute herramientas de análisis de vulnerabilidades automatizado Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Administración de vulnerabilidades 5.2 Implemente una solución de administración de revisiones de sistema operativo automatizada Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Administración de vulnerabilidades 5.2 Implemente una solución de administración de revisiones de sistema operativo automatizada Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Administración de vulnerabilidades 5.5 Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Administración de vulnerabilidades 5.5 Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Administración de vulnerabilidades 5.5 Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Administración de recursos y del inventario 6.10 Implementación de la lista de aplicaciones aprobadas Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de recursos y del inventario 6,8 Uso exclusivo de aplicaciones aprobadas Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de recursos y del inventario 6.9 Uso exclusivo de servicios de Azure aprobados Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Configuración segura 7.10 Implemente la supervisión de configuración automatizada para sistemas operativos Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Configuración segura 7.10 Implemente la supervisión de configuración automatizada para sistemas operativos Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Configuración segura 7.10 Implemente la supervisión de configuración automatizada para sistemas operativos Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Configuración segura 7.4 Mantenga configuraciones del sistema operativo seguras Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Configuración segura 7.4 Mantenga configuraciones del sistema operativo seguras Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Configuración segura 7.4 Mantenga configuraciones del sistema operativo seguras Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Defensa contra malware 8.1 Use software antimalware administrado centralmente La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Defensa contra malware 8.1 Use software antimalware administrado centralmente Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Defensa contra malware 8.3 Asegúrese de que se han actualizado el software y las firmas antimalware Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Recuperación de datos 9.1 Garantía de copias de seguridad automáticas periódicas Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Recuperación de datos 9.2 Realización de copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente Azure Backup debe estar habilitado para Virtual Machines. 3.0.0

Canada Federal PBMM

Para revisar cómo las integraciones de Azure Policy disponibles de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte Canada Federal PBMM.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-5 Separación de obligaciones Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-5 Separación de obligaciones Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-5 Separación de obligaciones Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC-5 Separación de obligaciones Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC-5 Separación de obligaciones Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-6 Privilegios mínimos Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-6 Privilegios mínimos Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-6 Privilegios mínimos Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC-6 Privilegios mínimos Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC-6 Privilegios mínimos Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17(1) Acceso remoto | Control y supervisión automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17(1) Acceso remoto | Control y supervisión automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17(1) Acceso remoto | Control y supervisión automatizados Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17(1) Acceso remoto | Control y supervisión automatizados Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Auditoría y responsabilidad AU-3 Contenido de los registros de auditoría [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU-3 Contenido de los registros de auditoría La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU-3 Contenido de los registros de auditoría Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Auditoría y responsabilidad AU-12 Generación de auditoría [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU-12 Generación de auditoría La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU-12 Generación de auditoría Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Administración de la configuración CM-7(5) Funcionalidad mínima | Inclusión en listas blancas de software autorizado Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Planes de contingencia CP-7 Sitio de procesamiento alternativo Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación IA-5(1) Administración de autenticadores | Autenticación basada en contraseña Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7(3) Protección de límites | Puntos de acceso Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7(4) Protección de límites | Servicios de telecomunicaciones externos Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-8(1) Integridad y confidencialidad de la transmisión | Protección criptográfica o protección física alternativa Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3(1) Protección frente a código malintencionado | Administración central La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3(1) Protección frente a código malintencionado | Administración central Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema de información La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Integridad del sistema y de la información SI-4 Supervisión del sistema de información Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.10 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la evaluación de vulnerabilidades" no sea "Deshabilitado". Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.12 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el acceso de red JIT" no sea "Deshabilitado". Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.13 Asegúrese de que la configuración de la directiva predeterminada de ASC "Monitor Adaptive Application Whitelisting" (Supervisar las listas blancas de aplicaciones adaptables) no sea "Deshabilitado". Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.3 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las actualizaciones del sistema" no es "Deshabilitado". Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.4 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las vulnerabilidades del sistema operativo" no sea "Deshabilitado". Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.5 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.6 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado". Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.7 Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar los grupos de seguridad de red" no sea "Deshabilitado". Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Security Center Recomendación de CIS Microsoft Azure Foundations Benchmark 2.9 Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado". Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Virtual Machines Recomendación de CIS Microsoft Azure Foundations Benchmark 7.1 Asegúrese de que "Disco del SO" esté cifrado. Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Virtual Machines Recomendación de CIS Microsoft Azure Foundations Benchmark 7.2 Asegúrese de que la opción "Discos de datos" esté cifrada. Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Virtual Machines Recomendación de CIS Microsoft Azure Foundations Benchmark 7.4 Asegúrese de que solo están instaladas las extensiones aprobadas. Solo deben instalarse las extensiones de máquina virtual aprobadas 1.0.0
Virtual Machines Recomendación de CIS Microsoft Azure Foundations Benchmark 7.5 Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales. Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Virtual Machines Recomendación de CIS Microsoft Azure Foundations Benchmark 7.6 Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0

Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
5 Registro y supervisión Recomendación de CIS Microsoft Azure Foundations Benchmark 5.3 Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admiten. Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
7 Máquinas virtuales Recomendación de CIS Microsoft Azure Foundations Benchmark 7.1 Asegúrese de que las máquinas virtuales utilicen discos administrados Auditar las máquinas virtuales que no utilizan discos administrados 1.0.0
7 Máquinas virtuales Recomendación de CIS Microsoft Azure Foundations Benchmark 7.2 Asegúrese de que los discos del sistema operativo y datos estén cifrados con CMK Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
7 Máquinas virtuales Recomendación de CIS Microsoft Azure Foundations Benchmark 7.4 Asegúrese de que solo están instaladas las extensiones aprobadas. Solo deben instalarse las extensiones de máquina virtual aprobadas 1.0.0
7 Máquinas virtuales Recomendación de CIS Microsoft Azure Foundations Benchmark 7.5 Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales. Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
7 Máquinas virtuales Recomendación de CIS Microsoft Azure Foundations Benchmark 7.6 Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0

CMMC nivel 3

Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Control de acceso AC.1.003 Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC.1.003 Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de acceso AC.2.007 Utiliza el principio de privilegios mínimos (también con cuentas con privilegios y funciones de seguridad específicas). Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC.2.008 Utiliza cuentas o roles sin privilegios para acceder a funciones que no son de seguridad. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" 3.0.0
Control de acceso AC.2.008 Utiliza cuentas o roles sin privilegios para acceder a funciones que no son de seguridad. Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" 3.0.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC.2.013 Supervisa y controla las sesiones de acceso remoto. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Control de acceso AC.2.016 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC.2.016 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de acceso AC.2.016 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Control de acceso AC.3.017 Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC.3.017 Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso AC.3.018 Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" 3.0.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" 3.0.0
Control de acceso AC.3.021 Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" 3.0.0
Auditoría y responsabilidad AU.2.041 Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU.2.041 Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU.2.041 Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Auditoría y responsabilidad AU.2.041 Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Auditoría y responsabilidad AU.2.041 Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Auditoría y responsabilidad AU.2.042 Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU.2.042 Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU.2.042 Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Auditoría y responsabilidad AU.2.042 Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Auditoría y responsabilidad AU.2.042 Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Auditoría y responsabilidad AU.3.046 Alerta en caso de error en el proceso de registro de auditoría. [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU.3.046 Alerta en caso de error en el proceso de registro de auditoría. La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU.3.046 Alerta en caso de error en el proceso de registro de auditoría. Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Auditoría y responsabilidad AU.3.048 Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Auditoría y responsabilidad AU.3.048 Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Auditoría y responsabilidad AU.3.048 Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Auditoría y responsabilidad AU.3.048 Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Auditoría y responsabilidad AU.3.048 Recopila la información de auditoría (los registros, por ejemplo) en uno o varios repositorios centrales. Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Evaluación de la seguridad CA.2.158 Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de la seguridad CA.2.158 Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Evaluación de la seguridad CA.2.158 Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Evaluación de la seguridad CA.2.158 Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Evaluación de la seguridad CA.2.158 Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Evaluación de la seguridad CA.3.161 Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de la seguridad CA.3.161 Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Evaluación de la seguridad CA.3.161 Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Evaluación de la seguridad CA.3.161 Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Evaluación de la seguridad CA.3.161 Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Administración de la configuración CM.2.061 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM.2.061 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM.2.062 Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" 3.0.0
Administración de la configuración CM.2.063 Controla y supervisa el software instalado por el usuario. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM.2.063 Controla y supervisa el software instalado por el usuario. Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM.2.063 Controla y supervisa el software instalado por el usuario. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" 3.0.0
Administración de la configuración CM.2.064 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Administración de la configuración CM.2.064 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Administración de la configuración CM.2.065 Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Administración de la configuración CM.3.069 Aplica la directiva de denegar por excepción (lista negra) para impedir el uso de software no autorizado o la directiva de denegar todo, permitir por excepción (lista de permitidos) para permitir la ejecución de software autorizado. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA.1.077 Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA.2.078 Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Identificación y autenticación IA.2.079 Prohíbe la reutilización de contraseñas para un número especificado de generaciones. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA.2.079 Prohíbe la reutilización de contraseñas para un número especificado de generaciones. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA.2.079 Prohíbe la reutilización de contraseñas para un número especificado de generaciones. Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación IA.2.079 Prohíbe la reutilización de contraseñas para un número especificado de generaciones. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA.2.079 Prohíbe la reutilización de contraseñas para un número especificado de generaciones. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Identificación y autenticación IA.2.081 Almacena y transmita únicamente contraseñas protegidas criptográficamente. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA.2.081 Almacena y transmita únicamente contraseñas protegidas criptográficamente. Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA.2.081 Almacena y transmita únicamente contraseñas protegidas criptográficamente. Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA.2.081 Almacena y transmita únicamente contraseñas protegidas criptográficamente. Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA.2.081 Almacena y transmita únicamente contraseñas protegidas criptográficamente. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Identificación y autenticación IA.3.084 Utiliza mecanismos de autenticación que no pueden reproducirse para establecer el acceso de la red a cuentas con y sin privilegios. Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Respuesta a los incidentes IR.2.093 Detección y notificación de eventos. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Recuperación RE.2.137 Ejecuta y prueba periódicamente copias de seguridad de los datos. Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Recuperación RE.2.137 Ejecuta y prueba periódicamente copias de seguridad de los datos. Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Recuperación RE.3.139 Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Recuperación RE.3.139 Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Evaluación de riesgos RM.2.141 Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RM.2.142 Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RM.2.143 Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RM.2.143 Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Evaluación de riesgos RM.2.143 Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos RM.2.143 Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC.1.176 Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC.1.176 Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC.1.176 Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC.2.179 Utiliza sesiones cifradas para administrar los dispositivos de red. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC.3.177 Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Protección del sistema y de las comunicaciones SC.3.177 Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Protección del sistema y de las comunicaciones SC.3.181 Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" 3.0.0
Protección del sistema y de las comunicaciones SC.3.185 Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC.3.190 Protege la autenticidad de las sesiones de comunicaciones. Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC.3.191 Protege la confidencialidad de CUI en reposo. Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI.1.211 Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI.1.211 Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Integridad del sistema y de la información SI.1.211 Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. 1.1.0
Integridad del sistema y de la información SI.1.211 Proporciona protección frente a código malintencionado en las ubicaciones correspondientes dentro de los sistemas de información la organización. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI.1.212 Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Integridad del sistema y de la información SI.1.213 Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Integridad del sistema y de la información SI.1.213 Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. 1.1.0
Integridad del sistema y de la información SI.1.213 Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0

FedRAMP High

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-2 (12) Supervisión de cuentas o uso atípico Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-3 Aplicación de acceso Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Control de acceso AC-3 Aplicación de acceso La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Control de acceso AC-3 Aplicación de acceso Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-3 Aplicación de acceso Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de acceso AC-4 Aplicación del flujo de información El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 Acceso remoto Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 Acceso remoto Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 (1) Supervisión o control automatizados Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-6 (5) Capacidades de integración o exploración y supervisión La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-12 Generación de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de auditoría La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-12 Generación de auditoría El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-12 Generación de auditoría El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-12 Generación de auditoría Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-12 Generación de auditoría La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema o en correlación con el tiempo La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Administración de la configuración CM-6 Valores de configuración Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-6 Valores de configuración Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-7 Funcionalidad mínima Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 Funcionalidad mínima Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (5) Listas de permitidos y software autorizado Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (5) Listas de permitidos y software autorizado Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Planes de contingencia CP-7 Sitio de procesamiento alternativo Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Planes de contingencia CP-9 Copia de seguridad del sistema de información Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 Administración de autenticadores La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Protección del sistema y de las comunicaciones SC-5 Protección ante la denegación de servicio El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección física criptográfica o alternativa Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma 1.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica El SO y los discos de datos deben cifrarse con una clave administrada por el cliente 3.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Integridad del sistema y de la información SI-2 Corrección de errores Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Integridad del sistema y de la información SI-3 (1) Administración central La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 (1) Administración central Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3 (1) Administración central La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema de información [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema de información La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Integridad del sistema y de la información SI-4 Supervisión del sistema de información El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Integridad del sistema y de la información SI-16 Protección de la memoria La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0

FedRAMP Moderate

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-2 (12) Supervisión de cuentas o uso atípico Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-3 Aplicación de acceso Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Control de acceso AC-3 Aplicación de acceso La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Control de acceso AC-3 Aplicación de acceso Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-3 Aplicación de acceso Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de acceso AC-4 Aplicación del flujo de información El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 Acceso remoto Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 Acceso remoto Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 (1) Supervisión o control automatizados Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 (1) Supervisión o control automatizados Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de auditoría La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-12 Generación de auditoría El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-12 Generación de auditoría El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-12 Generación de auditoría Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-12 Generación de auditoría La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Administración de la configuración CM-6 Valores de configuración Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-6 Valores de configuración Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-7 Funcionalidad mínima Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 Funcionalidad mínima Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (5) Listas de permitidos y software autorizado Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (5) Listas de permitidos y software autorizado Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Planes de contingencia CP-7 Sitio de procesamiento alternativo Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Planes de contingencia CP-9 Copia de seguridad del sistema de información Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 Administración de autenticadores La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos RA-5 Examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-5 Protección ante la denegación de servicio El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección física criptográfica o alternativa Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma 1.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica El SO y los discos de datos deben cifrarse con una clave administrada por el cliente 3.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Integridad del sistema y de la información SI-2 Corrección de errores Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Integridad del sistema y de la información SI-3 (1) Administración central La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 (1) Administración central Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3 (1) Administración central La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema de información [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema de información La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Integridad del sistema y de la información SI-4 Supervisión del sistema de información El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema de información La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Integridad del sistema y de la información SI-16 Protección de la memoria La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0

HIPAA/HITRUST 9.2

Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Administración de privilegios 11180.01c3System.6 - 01.c El acceso a las funciones de administración o a las consolas administrativas para sistemas que hospedan sistemas virtualizados está restringido al personal aplicando el principio de privilegios mínimos, y se admite mediante controles técnicos. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Administración de privilegios 1143.01c1System.123 - 01.c Los privilegios se autorizan y controlan de manera formal, se asignan a los usuarios en función de cada evento y de la necesidad de uso que tengan según su rol funcional (por ejemplo, usuario o administrador) y se documentan para cada producto o elemento del sistema. Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Administración de privilegios 1148.01c2System.78 - 01.c La organización restringe el acceso a las funciones con privilegios y a toda la información apropiada en términos de seguridad. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" 3.0.0
Administración de privilegios 1150.01c2System.10 - 01.c El sistema de control de acceso de los componentes del sistema que almacenan, procesan o transmiten la información cubierta se establece con un valor predeterminado "denegar todo". Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Autenticación de usuario para conexiones externas 1119.01j2Organizational.3 - 01.j Se comprueba el equipo de red para determinar si tiene funcionalidad insospechada de acceso telefónico. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Autenticación de usuario para conexiones externas 1175.01j1Organizational.8 - 01.j El acceso remoto a la información de la empresa a través de redes públicas solo tiene lugar tras la correcta identificación y autenticación. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Autenticación de usuario para conexiones externas 1179.01j3Organizational.1 - 01.j El sistema de información supervisa y controla los métodos de acceso remoto. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Diagnóstico remoto y protección de puertos de configuración 1192.01l1Organizational.1 - 01.l El acceso al equipo de red se protege físicamente. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Diagnóstico remoto y protección de puertos de configuración 1193.01l2Organizational.13 - 01.l Los controles para el acceso a los puertos de diagnóstico y configuración incluyen el uso de un bloqueo de clave y la implementación de procedimientos auxiliares para controlar el acceso físico al puerto. Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Diagnóstico remoto y protección de puertos de configuración 1197.01l3Organizational.3 - 01.l La organización deshabilita la funcionalidad Bluetooth y los protocolos de redes de punto a punto dentro del sistema de información que se consideren innecesarios o no seguros. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Segregación en redes 0805.01m1Organizational.12 - 01.m Las puertas de enlace de seguridad de la organización (por ejemplo, los firewalls) aplican las directivas de seguridad y están configuradas para filtrar el tráfico entre dominios, bloquean el acceso no autorizado y se usan para mantener la segregación entre segmentos de red cableados internos, inalámbricos internos y externos (por ejemplo, Internet), incluidas las redes perimetrales y aplican directivas de control de acceso para cada uno de los dominios. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Segregación en redes 0806.01m2Organizational.12356 - 01.m La red de la organización se segmenta de manera lógica y física con un perímetro de seguridad definido y un conjunto escalonado de controles, que incluye subredes para los componentes del sistema de acceso público que están separados lógicamente de la red interna, según los requisitos de la organización. El tráfico se controla con arreglo a la funcionalidad requerida y la clasificación de los datos o sistemas, de acuerdo con una evaluación de los riesgos y los correspondientes requisitos de seguridad. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Segregación en redes 0894.01m2Organizational.7 - 01.m Las redes se separan de las redes de nivel de producción al migrar servidores físicos, aplicaciones o datos a servidores virtualizados. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de conexión de red 0809.01n2Organizational.1234 - 01.n El tráfico de red se regula de acuerdo con la directiva de control de acceso de la organización mediante el firewall y otras restricciones relativas a la red para cada punto de acceso de red o interfaz administrada del servicio de telecomunicaciones externo. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de conexión de red 0809.01n2Organizational.1234 - 01.n El tráfico de red se regula de acuerdo con la directiva de control de acceso de la organización mediante el firewall y otras restricciones relativas a la red para cada punto de acceso de red o interfaz administrada del servicio de telecomunicaciones externo. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de conexión de red 0810.01n2Organizational.5 - 01.n La información transmitida se protege y, como mínimo, se cifra para las redes públicas y abiertas. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de conexión de red 0810.01n2Organizational.5 - 01.n La información transmitida se protege y, como mínimo, se cifra para las redes públicas y abiertas. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de conexión de red 0811.01n2Organizational.6 - 01.n Las excepciones a la directiva de flujo de tráfico se documentan con fines de respaldo o por necesidad de la empresa, especifican la duración de la excepción y se revisan al menos una vez al año. Estas excepciones se eliminan cuando ya no son necesarias para una finalidad específica o un requisito empresarial. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de conexión de red 0811.01n2Organizational.6 - 01.n Las excepciones a la directiva de flujo de tráfico se documentan con fines de respaldo o por necesidad de la empresa, especifican la duración de la excepción y se revisan al menos una vez al año. Estas excepciones se eliminan cuando ya no son necesarias para una finalidad específica o un requisito empresarial. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de conexión de red 0812.01n2Organizational.8 - 01.n Los dispositivos remotos que establecen conexiones no remotas no pueden comunicarse con recursos externos (remotos). Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de conexión de red 0812.01n2Organizational.8 - 01.n Los dispositivos remotos que establecen conexiones no remotas no pueden comunicarse con recursos externos (remotos). Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de conexión de red 0814.01n1Organizational.12 - 01.n La capacidad de los usuarios para conectarse a la red interna está restringida mediante una directiva "denegar de forma predeterminada" y "permitir por excepción" en las interfaces administradas, de acuerdo con la directiva de control de acceso y los requisitos de las aplicaciones empresariales y de uso clínico. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de conexión de red 0814.01n1Organizational.12 - 01.n La capacidad de los usuarios para conectarse a la red interna está restringida mediante una directiva "denegar de forma predeterminada" y "permitir por excepción" en las interfaces administradas, de acuerdo con la directiva de control de acceso y los requisitos de las aplicaciones empresariales y de uso clínico. Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Identificación y autenticación de usuario 11210.01q2Organizational.10 - 01.q Las firmas electrónicas y las firmas manuscritas que se ejecuten en registros electrónicos se vincularán a los respectivos registros electrónicos. Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Identificación y autenticación de usuario 11211.01q2Organizational.11 - 01.q Los registros electrónicos firmados contendrán información asociada a la firma en un formato legible. Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Identificación y autenticación de usuario 1123.01q1System.2 - 01.q Los usuarios que han desempeñado funciones con privilegios (por ejemplo, la administración del sistema) utilizan cuentas independientes al realizar esas funciones con privilegios. Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores 2.0.0
Identificación y autenticación de usuario 1125.01q2System.1 - 01.q Los métodos de autenticación multifactor se usan de acuerdo con la directiva de la organización (por ejemplo, para el acceso remoto a la red). Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Identificación y autenticación de usuario 1127.01q2System.3 - 01.q En los casos en los que se proporcionan tokens para la autenticación multifactor, se requiere la comprobación en persona antes de conceder el acceso. Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Registro de auditoría 1202.09aa1System.1 - 09.aa Se crea un registro de auditoría seguro para todas las actividades del sistema (crear, leer, actualizar, eliminar) que afecten a la información cubierta. Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Registro de auditoría 1206.09aa2System.23 - 09.aa La auditoría está siempre disponible mientras el sistema está activo y realiza un seguimiento de los eventos clave, el acceso correcto o erróneo a los datos, los cambios de configuración en la seguridad del sistema, los privilegios o el uso de las utilidades, las alarmas generadas, la activación y desactivación de los sistemas de protección (por ejemplo, A/V e IDS), la activación y desactivación de los mecanismos de identificación y autenticación, y la creación y eliminación de objetos en el nivel de sistema. Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Supervisión del uso del sistema 12100.09ab2System.15 - 09.ab La organización supervisa el sistema de información para identificar las irregularidades o anomalías que indican que el sistema funciona mal o está en situación de riesgo. También ayuda a confirmar cuando el sistema funciona de manera óptima, resistente y segura. Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Supervisión del uso del sistema 12101.09ab1Organizational.3 - 09.ab La organización especifica con qué frecuencia se revisan los registros de auditoría, cómo se documentan las revisiones, y los roles y responsabilidades específicos del personal que realiza las revisiones, incluidas las certificaciones profesionales u otros requisitos necesarios. La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Supervisión del uso del sistema 12102.09ab1Organizational.4 - 09.ab La organización probará periódicamente los procesos de supervisión y detección para corregir las deficiencias y mejorar los procesos. Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba 2.0.0
Supervisión del uso del sistema 1215.09ab2System.7 - 09.ab Los sistemas de auditoría y supervisión que emplea la organización permiten reducir las auditorías y la generación de informes. Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Supervisión del uso del sistema 1216.09ab3System.12 - 09.ab Los sistemas automatizados se usan para revisar las actividades de supervisión de los sistemas de seguridad (por ejemplo, IPS/IDS) y los registros del sistema diariamente, así como para identificar y documentar anomalías. La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Supervisión del uso del sistema 1217.09ab3System.3 - 09.ab Se generan alertas para que el personal técnico analice e investigue cualquier actividad dudosa o sospecha de infracción. Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba 2.0.0
Separación de obligaciones 1232.09c3Organizational.12 - 09.c El acceso para usuarios responsables de la administración y los controles de acceso está limitado al mínimo necesario con arreglo a la función y las responsabilidades de cada usuario, y estos usuarios no pueden tener acceso a las funciones de auditoría relacionadas con estos controles. Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" 3.0.0
Separación de obligaciones 1277.09c2Organizational.4 - 09.c La iniciación de un evento se desvincula de la autorización para reducir la posibilidad de connivencia. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" 3.0.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host pueden abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host pueden abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server 1.1.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host pueden abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host podrían abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host podrían abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Controles contra código malintencionado 0201.09j1Organizational.124 - 09.j Los programas antivirus y antispyware se instalan, utilizan y actualizan en todos los dispositivos de usuario final para realizar exámenes periódicos de los sistemas con el fin de identificar y quitar el software no autorizado. Los entornos de servidor para los que el desarrollador de software de servidor recomienda específicamente no instalar software antivirus y antispyware basado en host podrían abordar el requisito a través de una solución de detección de malware basada en la red (NBMD). Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Copia de seguridad 1620.09l1Organizational.8 - 09.l Cuando el proveedor de terceros suministra el servicio de copia de seguridad, el contrato de nivel de servicio incluye las medidas de protección detalladas para garantizar la confidencialidad, la integridad y la disponibilidad de la información de copia de seguridad. Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Copia de seguridad 1625.09l3Organizational.34 - 09.l Tres generaciones de copias de seguridad (completas, además de las incrementales o diferenciales relacionadas) se almacenan fuera del sitio; y tanto las copias de seguridad locales como las externas se registran con el nombre, la fecha, la hora y la acción. Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Copia de seguridad 1699.09l1Organizational.10 - 09.l Los roles y responsabilidades de los miembros del personal en el proceso de copia de seguridad de los datos se identifican y se comunican al personal; en concreto, los usuarios del programa Bring Your Own Device (BYOD) deben realizar copias de seguridad de los datos de clientes o de la organización en sus dispositivos. Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Controles de red 0858.09m1Organizational.4 - 09.m La organización supervisa todos los accesos inalámbricos autorizados y no autorizados al sistema de información y prohíbe la instalación de puntos de acceso inalámbricos (WAP), a menos que el CIO, o la persona que haya designado, lo autorice explícitamente. Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Controles de red 0858.09m1Organizational.4 - 09.m La organización supervisa todos los accesos inalámbricos autorizados y no autorizados al sistema de información y prohíbe la instalación de puntos de acceso inalámbricos (WAP), a menos que el CIO, o la persona que haya designado, lo autorice explícitamente. Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Controles de red 0858.09m1Organizational.4 - 09.m La organización supervisa todos los accesos inalámbricos autorizados y no autorizados al sistema de información y prohíbe la instalación de puntos de acceso inalámbricos (WAP), a menos que el CIO, o la persona que haya designado, lo autorice explícitamente. Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" 3.0.0
Controles de red 0859.09m1Organizational.78 - 09.m La organización garantiza la seguridad de la información en redes, la disponibilidad de servicios de red y servicios de información mediante la red, y la protección de los servicios conectados frente al acceso no autorizado. Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Controles de red 0861.09m2Organizational.67 - 09.m Para identificar y autenticar dispositivos en redes locales o de área extensa, incluidas las redes inalámbricas, el sistema de información utiliza (i) una solución conocida de información compartida o (II) una solución de autenticación de la organización. La elección exacta y el grado de intensidad dependerán de la clasificación de seguridad del sistema de información. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" 3.0.0
Seguridad de Network Services 0835.09n1Organizational.1 - 09.n Los servicios acordados proporcionados por un administrador o proveedor de servicios de red se administran y supervisan formalmente para asegurarse de que se proporcionan de forma segura. [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Seguridad de Network Services 0835.09n1Organizational.1 - 09.n Los servicios acordados proporcionados por un administrador o proveedor de servicios de red se administran y supervisan formalmente para asegurarse de que se proporcionan de forma segura. Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Seguridad de Network Services 0836.09.n2Organizational.1 - 09.n La organización autoriza y documenta formalmente las características de cada conexión realizada desde un sistema de información a otros sistemas de información fuera de la organización. [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Seguridad de Network Services 0885.09n2Organizational.3 - 09.n La organización revisa y actualiza los acuerdos de seguridad de interconexión de forma continua y comprueba la aplicación de los requisitos de seguridad. [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Seguridad de Network Services 0887.09n2Organizational.5 - 09.n La organización exige que los proveedores de servicios externos o subcontratados identifiquen las funciones, los puertos y los protocolos específicos que se usan en la prestación de los servicios externos o subcontratados. [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Administración de medios extraíbles 0302.09o2Organizational.1 - 09.o La organización protege y controla los medios que contienen información confidencial durante el transporte fuera de las áreas controladas. Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Transacciones en línea 0945.09y1Organizational.3 - 09.y Los protocolos usados para la comunicación entre todas las partes implicadas están protegidos mediante técnicas criptográficas, como SSL. Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza 3.0.0
Control del software operativo 0605.10h1System.12 - 10.h Únicamente los administradores autorizados pueden implementar actualizaciones aprobadas del software, las aplicaciones y las bibliotecas de programas, según los requisitos de la empresa y las implicaciones de seguridad de la versión. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Control del software operativo 0605.10h1System.12 - 10.h Únicamente los administradores autorizados pueden implementar actualizaciones aprobadas del software, las aplicaciones y las bibliotecas de programas, según los requisitos de la empresa y las implicaciones de seguridad de la versión. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" 3.0.0
Control del software operativo 0605.10h1System.12 - 10.h Únicamente los administradores autorizados pueden implementar actualizaciones aprobadas del software, las aplicaciones y las bibliotecas de programas, según los requisitos de la empresa y las implicaciones de seguridad de la versión. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" 3.0.0
Control del software operativo 0606.10h2System.1 - 10.h Las aplicaciones y los sistemas operativos se someten a prueba satisfactoriamente en términos de facilidad de uso, seguridad e impacto antes de pasar a producción. Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Control del software operativo 0607.10h2System.23 - 10.h La organización utiliza su programa de control de configuración para mantener bajo control todo el software implementado y la documentación del sistema, y archiva las versiones anteriores del software implementado y la correspondiente documentación del sistema. Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Control del software operativo 0607.10h2System.23 - 10.h La organización utiliza su programa de control de configuración para mantener bajo control todo el software implementado y la documentación del sistema, y archiva las versiones anteriores del software implementado y la correspondiente documentación del sistema. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Procedimientos de control de cambios 0635.10k1Organizational.12 - 10.k Los administradores responsables de los sistemas de aplicaciones también son responsables del control estricto (seguridad) del proyecto o del entorno de soporte técnico, así como de garantizar la revisión de todos los cambios propuestos del sistema para verificar que no pongan en riesgo la seguridad del sistema o del entorno operativo. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0636.10k2Organizational.1 - 10.k La organización aborda formalmente la finalidad, el ámbito, los roles, las responsabilidades, el compromiso de la administración, la coordinación entre entidades organizativas y el cumplimiento de la administración de configuración (por ejemplo, mediante directivas, estándares y procesos). Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0637.10k2Organizational.2 - 10.k La organización ha desarrollado, documentado e implementado un plan de administración de configuración para el sistema de información. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0638.10k2Organizational.34569 - 10.k Los cambios se controlan, documentan y aplican formalmente para minimizar posibles daños en los sistemas de información. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0639.10k2Organizational.78 - 10.k Las listas de comprobación de instalación y los exámenes de vulnerabilidades se utilizan para validar la configuración de servidores, estaciones de trabajo, dispositivos y equipos, y garantizan que la configuración cumpla los estándares mínimos. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0640.10k2Organizational.1012 - 10.k Cuando el desarrollo se externalice, los procedimientos de control de cambios para abordar cuestiones de seguridad se incluyen en los contratos y exigen específicamente que el desarrollador haga un seguimiento de las deficiencias de seguridad y de su resolución dentro del sistema, componente o servicio, y que los hallazgos se notifiquen al personal o a los roles definidos por la organización. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0641.10k2Organizational.11 - 10.k La organización no usa las actualizaciones automatizadas en los sistemas esenciales. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0642.10k3Organizational.12 - 10.k La organización desarrolla, documenta y mantiene, mediante el control de configuración, una configuración de línea de base actual del sistema de información; y revisa y actualiza la línea de base de acuerdo con las necesidades. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0643.10k3Organizational.3 - 10.k La organización debe (i) establecer y documentar los parámetros de configuración obligatorios para los productos de tecnologías de la información empleados en el sistema de información mediante las líneas de base de configuración de seguridad más recientes; (ii) identificar, documentar y aprobar las excepciones en relación con los valores de configuración establecidos obligatorios para componentes individuales según los requisitos operativos explícitos; y (iii) supervisar y controlar los cambios en los parámetros de configuración de acuerdo con las directivas y los procedimientos organizativos. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Procedimientos de control de cambios 0644.10k3Organizational.4 - 10.k La organización emplea mecanismos automatizados para (i) administrar, aplicar y comprobar los parámetros de configuración de forma centralizada; (ii) responder a cambios no autorizados en los parámetros de configuración relativos a la seguridad de la red y el sistema; y (iii) aplicar restricciones de acceso y auditar las medidas de ejecución. Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" 3.0.0
Control de vulnerabilidades técnicas 0709.10m1Organizational.1 - 10.m Las vulnerabilidades técnicas se identifican, se evalúan en términos del riesgo y se corrigen oportunamente. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Control de vulnerabilidades técnicas 0709.10m1Organizational.1 - 10.m Las vulnerabilidades técnicas se identifican, se evalúan en términos del riesgo y se corrigen oportunamente. Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Control de vulnerabilidades técnicas 0709.10m1Organizational.1 - 10.m Las vulnerabilidades técnicas se identifican, se evalúan en términos del riesgo y se corrigen oportunamente. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Control de vulnerabilidades técnicas 0709.10m1Organizational.1 - 10.m Las vulnerabilidades técnicas se identifican, se evalúan en términos del riesgo y se corrigen oportunamente. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Control de vulnerabilidades técnicas 0709.10m1Organizational.1 - 10.m Las vulnerabilidades técnicas se identifican, se evalúan en términos del riesgo y se corrigen oportunamente. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" 3.0.0
Control de vulnerabilidades técnicas 0711.10m2Organizational.23 - 10.m Se adopta un programa de administración de vulnerabilidades técnicas para supervisar, evaluar, clasificar y corregir las vulnerabilidades que se identifiquen en los sistemas. Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Control de vulnerabilidades técnicas 0713.10m2Organizational.5 - 10.m Las revisiones se prueban y evalúan antes de instalarse. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Control de vulnerabilidades técnicas 0714.10m2Organizational.7 - 10.m El programa de administración de vulnerabilidades técnicas se evalúa con carácter trimestral. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Control de vulnerabilidades técnicas 0715.10m2Organizational.8 - 10.m Los sistemas se protegen debidamente (por ejemplo, se configuran únicamente con los servicios, puertos y protocolos seguros y necesarios que estén habilitados). Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Control de vulnerabilidades técnicas 0717.10m3Organizational.2 - 10.m Las herramientas de examen de vulnerabilidades permiten actualizar de inmediato las vulnerabilidades del sistema de información examinadas. Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Control de vulnerabilidades técnicas 0718.10m3Organizational.34 - 10.m La organización busca vulnerabilidades en el sistema de información y en las aplicaciones hospedadas para determinar el estado de corrección de errores con carácter mensual (automáticamente) y vuelve a hacerlo (de forma manual o automática) cuando se identifican y notifican nuevas vulnerabilidades que afectan potencialmente a los sistemas y a los entornos en red. Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Continuidad del negocio y evaluación de riesgos 1634.12b1Organizational.1 - 12.b La organización identifica los procesos empresariales fundamentales que requieren continuidad empresarial. Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Continuidad del negocio y evaluación de riesgos 1637.12b2Organizational.2 - 12.b Los análisis de impacto empresarial se usan para evaluar las consecuencias de posibles desastres, errores de seguridad, pérdida de servicio y disponibilidad del servicio. Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" 3.0.0
Continuidad del negocio y evaluación de riesgos 1638.12b2Organizational.345 - 12.b Las evaluaciones de riesgos de continuidad empresarial (i) se realizan anualmente con la participación de todos los propietarios de recursos y procesos empresariales, (II) tienen en cuenta todos los procesos empresariales y no se limitan a los recursos de información, sino que incluyen resultados específicos relativos a la seguridad de la información, e (III) identifican, cuantifican y priorizan los riesgos en relación con los objetivos y criterios empresariales relevantes para la organización, como los recursos imprescindibles, el impacto de las interrupciones, los periodos de interrupción permitidos y las prioridades de recuperación. Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0

IRS 1075, septiembre de 2016

Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso 9.3.1.12 Acceso remoto (AC-17) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.3.1.12 Acceso remoto (AC-17) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.3.1.12 Acceso remoto (AC-17) Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso 9.3.1.12 Acceso remoto (AC-17) Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso 9.3.1.2 Administración de cuentas (AC-2) Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso 9.3.1.5 Separación de obligaciones (AC-5) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.3.1.5 Separación de obligaciones (AC-5) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.3.1.5 Separación de obligaciones (AC-5) Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso 9.3.1.5 Separación de obligaciones (AC-5) Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso 9.3.1.5 Separación de obligaciones (AC-5) Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso 9.3.1.6 Privilegios mínimos (AC-6) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.3.1.6 Privilegios mínimos (AC-6) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.3.1.6 Privilegios mínimos (AC-6) Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso 9.3.1.6 Privilegios mínimos (AC-6) Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso 9.3.1.6 Privilegios mínimos (AC-6) Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Evaluación de riesgos 9.3.14.3 Examen de vulnerabilidades (RA-5) Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos 9.3.14.3 Examen de vulnerabilidades (RA-5) Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos 9.3.14.3 Examen de vulnerabilidades (RA-5) Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones 9.3.16.15 Protección de la información en reposo (SC-28) Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Protección del sistema y de las comunicaciones 9.3.16.5 Protección de límites (SC-7) Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Protección del sistema y de las comunicaciones 9.3.16.5 Protección de límites (SC-7) Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones 9.3.16.5 Protección de límites (SC-7) Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones 9.3.16.6 Integridad y confidencialidad de la transmisión (SC-8) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Protección del sistema y de las comunicaciones 9.3.16.6 Integridad y confidencialidad de la transmisión (SC-8) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Protección del sistema y de las comunicaciones 9.3.16.6 Integridad y confidencialidad de la transmisión (SC-8) Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Protección del sistema y de las comunicaciones 9.3.16.6 Integridad y confidencialidad de la transmisión (SC-8) Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Integridad del sistema y de la información 9.3.17.2 Corrección de errores (SI-2) Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Integridad del sistema y de la información 9.3.17.2 Corrección de errores (SI-2) Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información 9.3.17.2 Corrección de errores (SI-2) Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información 9.3.17.2 Corrección de errores (SI-2) Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información 9.3.17.2 Corrección de errores (SI-2) Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información 9.3.17.3 Protección frente a código malintencionado (SI-3) La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información 9.3.17.3 Protección frente a código malintencionado (SI-3) Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información 9.3.17.4 Supervisión del sistema de información (SI-4) [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Integridad del sistema y de la información 9.3.17.4 Supervisión del sistema de información (SI-4) La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Integridad del sistema y de la información 9.3.17.4 Supervisión del sistema de información (SI-4) Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Conocimiento y aprendizaje 9.3.3.11 Generación de auditorías (AU-12) [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Conocimiento y aprendizaje 9.3.3.11 Generación de auditorías (AU-12) La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Conocimiento y aprendizaje 9.3.3.11 Generación de auditoría (AU-12) Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Conocimiento y aprendizaje 9.3.3.3 Contenido de los registros de auditoría (AU-3) [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Conocimiento y aprendizaje 9.3.3.3 Contenido de los registros de auditoría (AU-3) La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Conocimiento y aprendizaje 9.3.3.3 Contenido de los registros de auditoría (AU-3) Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Conocimiento y aprendizaje 9.3.3.6 Revisión, análisis e informes de auditoría (AU-6) [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Conocimiento y aprendizaje 9.3.3.6 Revisión, análisis e informes de auditoría (AU-6) La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Conocimiento y aprendizaje 9.3.3.6 Revisión, análisis e informes de auditoría (AU-6) Las máquinas virtuales deben conectarse a un área de trabajo especificada. 1.1.0
Administración de la configuración 9.3.5.11 Software instalado por el usuario (CM-11) Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración 9.3.5.7 Funcionalidad mínima (CM-7) Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Planes de contingencia 9.3.6.6 Sitio de procesamiento alternativo (CP-7) Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación 9.3.7.5 Administración de autenticadores (IA-5) Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0

ISO 27001:2013

Si desea ver la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Criptografía 10.1.1 Directiva sobre el uso de controles criptográficos Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Criptografía 10.1.1 Directiva sobre el uso de controles criptográficos Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Criptografía 10.1.1 Directiva sobre el uso de controles criptográficos Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Criptografía 10.1.1 Directiva sobre el uso de controles criptográficos Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Criptografía 10.1.1 Directiva sobre el uso de controles criptográficos Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Seguridad de las operaciones 12.4.1 Registro de eventos [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Seguridad de las operaciones 12.4.1 Registro de eventos Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.1 Registro de eventos Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.1 Registro de eventos La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Seguridad de las operaciones 12.4.3 Registros de administrador y operador [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Seguridad de las operaciones 12.4.3 Registros de administrador y operador Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.3 Registros de administrador y operador Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.3 Registros de administrador y operador La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Seguridad de las operaciones 12.4.4 Sincronización del reloj [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Seguridad de las operaciones 12.4.4 Sincronización del reloj Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.4 Sincronización del reloj Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada 2.0.0
Seguridad de las operaciones 12.4.4 Sincronización del reloj La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Seguridad de las operaciones 12.5.1 Instalación de software en sistemas operativos Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Seguridad de las operaciones 12.6.1 Administración de vulnerabilidades técnicas Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Seguridad de las operaciones 12.6.1 Administración de vulnerabilidades técnicas Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Seguridad de las operaciones 12.6.1 Administración de vulnerabilidades técnicas Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Seguridad de las operaciones 12.6.1 Administración de vulnerabilidades técnicas Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Seguridad de las operaciones 12.6.2 Restricciones de instalación de software Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Seguridad de las comunicaciones 13.1.1 Controles de red Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Auditar las máquinas virtuales que no utilizan discos administrados 1.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso 9.1.2 Acceso a redes y servicios de red Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Control de acceso 9.2.4 Administración de la información de autenticación de secretos de los usuarios Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.2.4 Administración de la información de autenticación de secretos de los usuarios Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.2.4 Administración de la información de autenticación de secretos de los usuarios Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Control de acceso 9.2.4 Administración de la información de autenticación de secretos de los usuarios Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Control de acceso 9.4.3 Sistema de administración de contraseñas Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0

ISM restringido en Nueva Zelanda

Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy y la restricción de ISM en Nueva Zelanda. Para más información acerca de este estándar de cumplimiento, consulte ISM restringido de Nueva Zelanda.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Supervisión de la seguridad de la información ISM-3 6.2.5 Realización de evaluaciones de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Supervisión de seguridad de la información ISM-4 6.2.6 Resolución de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Supervisión de la seguridad de la información ISM-4 6.2.6 Resolución de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Supervisión de seguridad de la información ISM-4 6.2.6 Resolución de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Supervisión de seguridad de la información ISM-4 6.2.6 Resolución de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Supervisión de seguridad de la información ISM-7 6.4.5 Requisitos de disponibilidad Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Seguridad de los productos PRS-5 12.4.4 Vulnerabilidades de revisión de los productos Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Seguridad de los productos PRS-5 12.4.4 Vulnerabilidades de revisión de los productos Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Seguridad del software SS-2 14.1.8 Desarrollo de SOE reforzados Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Seguridad del software SS-3 14.1.9 Mantenimiento de SOE reforzados Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Seguridad del software SS-3 14.1.9 Mantenimiento de SOE reforzados Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Seguridad del software SS-3 14.1.9 Mantenimiento de SOE reforzados La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Seguridad del software SS-3 14.1.9 Mantenimiento de SOE reforzados Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Seguridad del software SS-3 14.1.9 Mantenimiento de SOE reforzados Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Seguridad del software SS-5 14.2.4 Inclusión en lista aprobada de aplicaciones Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Seguridad del software SS-5 14.2.4 Inclusión en lista aprobada de aplicaciones Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Control de acceso y contraseñas AC-4 16.1.40 Directiva de selección de contraseña Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Control de acceso y contraseñas AC-4 16.1.40 Directiva de selección de contraseña Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" 3.0.0
Control de acceso y contraseñas AC-11 16.4.30 Privileged Access Management Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores 2.0.0
Control de acceso y contraseñas AC-11 16.4.30 Privileged Access Management Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores 2.0.0
Control de acceso y contraseñas AC-11 16.4.30 Privileged Access Management Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores 2.0.0
Control de acceso y contraseñas AC-13 16.5.10 Autenticación Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso y contraseñas AC-17 16.6.9 Eventos que se registrarán La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Control de acceso y contraseñas AC-17 16.6.9 Eventos que se registrarán Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Criptografía CR-3 17.1.46 Reducción de los requisitos de almacenamiento y transferencia física Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Criptografía CR-7 17.4.16 Uso de TLS Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Criptografía CR-9 17.5.7 Mecanismos de autenticación La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Criptografía CR-14 17.9.25 Contenido de KMP El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Seguridad de puerta de enlace GS-2 19.1.11 Uso de puertas de enlace Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Seguridad de puerta de enlace GS-3 19.1.12 Configuración de puertas de enlace Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Seguridad de puerta de enlace GS-5 19.1.23 Pruebas de puertas de enlace Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0

NIST SP 800-53 Rev. 5

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-2 (12) Supervisión de cuentas para el uso atípico Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-3 Aplicación de acceso Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-3 Aplicación de acceso Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Control de acceso AC-3 Aplicación de acceso La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Control de acceso AC-3 Aplicación de acceso Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-3 Aplicación de acceso Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Control de acceso AC-4 Aplicación del flujo de información El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Control de acceso AC-4 Aplicación del flujo de información Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Control de acceso AC-4 (3) Control de flujo de información dinámico Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Control de acceso AC-4 (3) Control de flujo de información dinámico Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 Acceso remoto Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 Acceso remoto Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 Acceso remoto Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 Acceso remoto Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Control de acceso AC-17 (1) Supervisión y control Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Control de acceso AC-17 (1) Supervisión y control Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Control de acceso AC-17 (1) Supervisión y control Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso AC-17 (1) Supervisión y control Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Control de acceso AC-17 (1) Supervisión y control Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Control de acceso AC-17 (1) Supervisión y control Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de registros de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 Revisión, análisis e informes de registros de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-6 (4) Revisión y análisis centralizados La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-6 (5) Análisis integrado de registros de auditoría La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-12 Generación de registros de auditoría [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de registros de auditoría [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 Generación de registros de auditoría La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-12 Generación de registros de auditoría El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-12 Generación de registros de auditoría El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-12 Generación de registros de auditoría Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-12 Generación de registros de auditoría La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Auditoría y responsabilidad AU-12 (1) Registro de auditoría en todo el sistema y con correlación de tiempo La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Administración de la configuración CM-6 Valores de configuración Las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-6 Valores de configuración Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. 2.0.0
Administración de la configuración CM-7 Funcionalidad mínima Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 Funcionalidad mínima Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (2) Impedimento de la ejecución del programa Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-7 (5) Software autorizado Permiso por excepción Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-7 (5) Software autorizado Permiso por excepción Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-10 Restricciones de uso de software Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Administración de la configuración CM-11 Software instalado por el usuario Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Planes de contingencia CP-7 Sitio de procesamiento alternativo Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Planes de contingencia CP-9 Copia de seguridad del sistema Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 Administración de autenticadores La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 Administración de autenticadores Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible 2.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identificación y autenticación IA-5 (1) Autenticación basada en contraseñas Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Evaluación de riesgos RA-5 Supervisión y examen de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Evaluación de riesgos RA-5 Supervisión y examen de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Evaluación de riesgos RA-5 Supervisión y examen de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Evaluación de riesgos RA-5 Supervisión y examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Evaluación de riesgos RA-5 Supervisión y examen de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Protección del sistema y de las comunicaciones SC-3 Aislamiento de la función de seguridad La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Protección del sistema y de las comunicaciones SC-5 Protección ante la denegación de servicio El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los recursos de acceso al disco deben usar un vínculo privado 1.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección criptográfica Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma 1.0.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica El SO y los discos de datos deben cifrarse con una clave administrada por el cliente 3.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Integridad del sistema y de la información SI-2 Corrección de errores Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Integridad del sistema y de la información SI-2 Corrección de errores Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Integridad del sistema y de la información SI-3 Protección frente a código malintencionado La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Integridad del sistema y de la información SI-4 Supervisión del sistema La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Integridad del sistema y de la información SI-4 Supervisión del sistema El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Integridad del sistema y de la información SI-4 Supervisión del sistema La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Integridad del sistema y de la información SI-16 Protección de la memoria La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0

Restricción de ISM en NZ v3.5

Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy y la restricción de ISM en NZ v3.5. Para más información acerca de este estándar de cumplimiento, consulte Restricción de ISM en NZ v3.5.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso y contraseñas NZISM Security Benchmark AC-13 16.5.10 Autenticación Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Control de acceso y contraseñas NZISM Security Benchmark AC-18 16.6.9 Eventos que se registrarán El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Control de acceso y contraseñas NZISM Security Benchmark AC-18 16.6.9 Eventos que se registrarán El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Control de acceso y contraseñas NZISM Security Benchmark AC-18 16.6.9 Eventos que se registrarán Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Criptografía NZISM Security Benchmark CR-10 17.5.7 Mecanismos de autenticación La autenticación en máquinas Linux debe requerir claves SSH. 3.0.0
Criptografía NZISM Security Benchmark CR-15 17.9.25 Contenido de KMP El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Criptografía NZISM Security Benchmark CR-3 17.1.53 Reducción de los requisitos de almacenamiento y transferencia física Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Criptografía NZISM Security Benchmark CR-8 17.4.16 Uso de TLS Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Seguridad de puerta de enlace NZISM Security Benchmark GS-2 19.1.11 Uso de puertas de enlace Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Seguridad de puerta de enlace NZISM Security Benchmark GS-2 19.1.11 Uso de puertas de enlace Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Seguridad de puerta de enlace NZISM Security Benchmark GS-3 19.1.12 Configuración de puertas de enlace Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Seguridad de puerta de enlace NZISM Security Benchmark GS-5 19.1.23 Pruebas de puertas de enlace Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Supervisión de seguridad de la información NZISM Security Benchmark ISM-3 6.2.5 Realización de evaluaciones de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Supervisión de seguridad de la información NZISM Security Benchmark ISM-4 6.2.6 Resolución de vulnerabilidades Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Supervisión de la seguridad de la información NZISM Security Benchmark ISM-4 6.2.6 Resolución de vulnerabilidades Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Supervisión de seguridad de la información NZISM Security Benchmark ISM-4 6.2.6 Resolución de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Supervisión de seguridad de la información NZISM Security Benchmark ISM-4 6.2.6 Resolución de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Supervisión de seguridad de la información NZISM Security Benchmark ISM-7 6.4.5 Requisitos de disponibilidad Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Seguridad de los productos NZISM Security Benchmark PRS-5 12.4.4 Vulnerabilidades de revisión de los productos Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Seguridad de los productos NZISM Security Benchmark PRS-5 12.4.4 Vulnerabilidades de revisión de los productos Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Seguridad del software NZISM Security Benchmark SS-2 14.1.8 Desarrollo de SOE reforzados Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas 1.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados La protección de los puntos de conexión debe instalarse en las máquinas 1.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados La extensión "Configuración de invitado" debe estar instalada en las máquinas. 1.0.2
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Seguridad del software NZISM Security Benchmark SS-3 14.1.9 Mantenimiento de SOE reforzados La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. 2.0.0
Seguridad del software NZISM Security Benchmark SS-5 14.2.4 Inclusión en lista aprobada de aplicaciones Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Seguridad del software NZISM Security Benchmark SS-5 14.2.4 Inclusión en lista aprobada de aplicaciones Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0

PCI DSS 3.2.1

Para revisar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte PCI DSS 3.2.1. Para más información sobre este estándar de cumplimiento, consulte PCI DSS 3.2.1.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Requisito 1 PCI DSS v3.2.1 1.3.2 Requisito 1.3.2 de PCI DSS Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Requisito 1 PCI DSS v3.2.1 1.3.4 Requisito 1.3.4 de PCI DSS Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Requisito 1 PCI DSS v3.2.1 1.3.4 Requisito 1.3.4 de PCI DSS Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Requisito 10 PCI DSS v3.2.1 10.5.4 Requisito 10.5.4 de PCI DSS Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Requisito 11 PCI DSS v3.2.1 11.2.1 Requisito 11.2.1 de PCI DSS Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Requisito 11 PCI DSS v3.2.1 11.2.1 Requisito 11.2.1 de PCI DSS Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Requisito 11 PCI DSS v3.2.1 11.2.1 Requisito 11.2.1 de PCI DSS Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Requisito 11 PCI DSS v3.2.1 11.2.1 Requisito 11.2.1 de PCI DSS Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Requisito 3 PCI DSS v3.2.1 3.4 Requisito 3.4 de PCI DSS Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Requisito 4 PCI DSS v3.2.1 4.1 Requisito 4.1 de PCI DSS Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Requisito 5 PCI DSS v3.2.1 5.1 Requisito 5.1 de PCI DSS Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Requisito 5 PCI DSS v3.2.1 5.1 Requisito 5.1 de PCI DSS Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Requisito 5 PCI DSS v3.2.1 5.1 Requisito 5.1 de PCI DSS Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Requisito 5 PCI DSS v3.2.1 5.1 Requisito 5.1 de PCI DSS Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Requisito 6 PCI DSS v3.2.1 6.2 Requisito 6.2 de PCI DSS Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Requisito 6 PCI DSS v3.2.1 6.2 Requisito 6.2 de PCI DSS Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Requisito 6 PCI DSS v3.2.1 6.2 Requisito 6.2 de PCI DSS Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Requisito 6 PCI DSS v3.2.1 6.2 Requisito 6.2 de PCI DSS Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Requisito 6 PCI DSS v3.2.1 6.5.3 Requisito 6.5.3 de PCI DSS Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Requisito 6 PCI DSS v3.2.1 6.6 Requisito 6.6 de PCI DSS Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Requisito 6 PCI DSS v3.2.1 6.6 Requisito 6.6 de PCI DSS Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Requisito 6 PCI DSS v3.2.1 6.6 Requisito 6.6 de PCI DSS Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Requisito 6 PCI DSS v3.2.1 6.6 Requisito 6.6 de PCI DSS Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.3 Requisito 8.2.3 de PCI DSS Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Requisito 8 PCI DSS v3.2.1 8.2.5 Requisito 8.2.5 de PCI DSS Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0

Banco de la Reserva de la India: marco informático para NBFC

Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Gobernanza de TI Marco de TI RBI 1 Gobernanza de TI-1 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Gobernanza de TI RBI IT Framework 1.1 Gobernanza de TI-1.1 El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Gobernanza de TI RBI IT Framework 1.1 Gobernanza de TI-1.1 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Gobernanza de TI RBI IT Framework 1.1 Gobernanza de TI-1.1 Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Directiva de TI RBI IT Framework 2 Directiva de TI-2 Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Directiva de TI RBI IT Framework 2 Directiva de TI-2 Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Información y ciberseguridad RBI IT Framework 3.1.b Segregación de Functions-3.1 [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas 3.0.0-preview
Información y ciberseguridad RBI IT Framework 3.1.b Segregación de Functions-3.1 [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas 2.0.0-preview
Información y ciberseguridad RBI IT Framework 3.1.b Segregación de Functions-3.1 La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Información y ciberseguridad RBI IT Framework 3.1.c Control de acceso basado en rol-3.1 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas 2.0.1-preview
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows 1.0.2-preview
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Información y ciberseguridad RBI IT Framework 3.1.g Senderos-3.1 Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Información y ciberseguridad RBI IT Framework 3.1.h Infraestructura de clave pública (PKI)-3.1 Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente 2.0.0
Información y ciberseguridad RBI IT Framework 3.1.h Infraestructura de clave pública (PKI)-3.1 Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. 1.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Información y ciberseguridad RBI IT Framework 3.3 Administración de vulnerabilidades-3.3 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Operaciones de TI RBI IT Framework 4.2 Operaciones de TI-4.2 [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux 1.0.2-preview
Operaciones de TI RBI IT Framework 4.4.a Operaciones de TI-4.4 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Operaciones de TI RBI IT Framework 4.4.b MIS para la administración superior-4.4 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Auditoría de IS RBI IT Framework 5 Directiva para la auditoría del sistema de información (auditoría de IS)-5 Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Auditoría de IS RBI IT Framework 5 Directiva para la auditoría del sistema de información (auditoría de IS)-5 Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Auditoría de IS RBI IT Framework 5 Directiva para la auditoría del sistema de información (auditoría de IS)-5 El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Auditoría de IS RBI IT Framework 5 Directiva para la auditoría del sistema de información (auditoría de IS)-5 Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Auditoría de IS RBI IT Framework 5.2 Cobertura-5.2 Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Planes de continuidad empresarial RBI IT Framework 6 Planes de continuidad empresarial (BCP) y recuperación ante desastres-6 Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Planes de continuidad empresarial RBI IT Framework 6 Planes de continuidad empresarial (BCP) y recuperación ante desastres-6 Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Planes de continuidad empresarial RBI IT Framework 6.2 Estrategia de recuperación/plan de contingencia-6.2 Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Planes de continuidad empresarial RBI IT Framework 6.2 Estrategia de recuperación/plan de contingencia-6.2 Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Planes de continuidad empresarial RBI IT Framework 6.3 Estrategia de recuperación/plan de contingencia-6.3 Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Planes de continuidad empresarial RBI IT Framework 6.4 Estrategia de recuperación / Plan de contingencia-6.4 Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0

RMIT Malasia

Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Operaciones del centro de datos RMiT 10.27 Operaciones del centro de datos: 10.27 Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows 3.0.1
Operaciones del centro de datos RMiT 10.27 Operaciones del centro de datos: 10.27 Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Operaciones del centro de datos RMiT 10.30 Operaciones del centro de datos: 10.30 Azure Backup debe estar habilitado para Virtual Machines. 3.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Configurar discos administrados para deshabilitar el acceso a la red pública 2.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Los discos administrados deben deshabilitar el acceso a la red pública 2.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Resistencia de la red RMiT 10.33 Resistencia de la red: 10.33 Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Resistencia de la red RMiT 10.35 Resistencia de la red: 10.35 Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows 3.0.1
Cloud Services RMiT 10.49 Cloud Services: 10.49 Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Cloud Services RMiT 10.49 Cloud Services: 10.49 Se deben cerrar los puertos de administración en las máquinas virtuales 3.0.0
Cloud Services RMiT 10.51 Cloud Services: 10.51 Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Cloud Services RMiT 10.51 Cloud Services: 10.51 Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0
Cloud Services RMiT 10.53 Cloud Services: 10.53 Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente 2.0.0
Cloud Services RMiT 10.53 Cloud Services: 10.53 El SO y los discos de datos deben cifrarse con una clave administrada por el cliente 3.0.0
Control de acceso RMiT 10.54 Control de acceso: 10.54 La extensión "Configuración de invitado" debe estar instalada en las máquinas 1.0.2
Control de acceso RMiT 10.54 Control de acceso: 10.54 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso RMiT 10.54 Control de acceso: 10.54 La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Control de acceso RMiT 10.61 Control de acceso: 10.61 La extensión "Configuración de invitado" debe estar instalada en las máquinas 1.0.2
Control de acceso RMiT 10.61 Control de acceso: 10.61 Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Control de acceso RMiT 10.61 Control de acceso: 10.61 La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. 1.0.1
Administración del sistema de revisión y fin de ciclo de vida RMiT 10.63 Administración del sistema de revisión y fin de ciclo de vida: 10.63 Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. 1.0.0
Administración del sistema de revisión y fin de ciclo de vida RMiT 10.63 Administración del sistema de revisión y fin de ciclo de vida: 10.63 Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Administración del sistema de revisión y fin de ciclo de vida RMiT 10.65 Administración del sistema de revisión y fin de ciclo de vida: 10.65 Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Administración del sistema de revisión y fin de ciclo de vida RMiT 10.65 Administración del sistema de revisión y fin de ciclo de vida: 10.65 Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Seguridad de los servicios digitales RMiT 10.66 Seguridad de los servicios digitales: 10.66 Implementación: configuración de la extensión de Log Analytics para habilitarla en máquinas virtuales Windows 3.0.1
Seguridad de los servicios digitales RMiT 10.66 Seguridad de los servicios digitales: 10.66 La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas 2.0.1
Seguridad de los servicios digitales RMiT 10.66 Seguridad de los servicios digitales: 10.66 La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets 1.0.1
Seguridad de los servicios digitales RMiT 10.66 Seguridad de los servicios digitales: 10.66 Las máquinas virtuales deben tener la extensión de Log Analytics instalada 1.0.1
Prevención de pérdida de datos (DLP) RMiT 11.15 Prevención de pérdida de datos (DLP): 11.15 Configurar discos administrados para deshabilitar el acceso a la red pública 2.0.0
Prevención de pérdida de datos (DLP) RMiT 11.15 Prevención de pérdida de datos (DLP): 11.15 Los discos administrados deben deshabilitar el acceso a la red pública 2.0.0
Prevención de pérdida de datos (DLP) RMiT 11.15 Prevención de pérdida de datos (DLP): 11.15 Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente 2.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.17 Centro de operaciones de seguridad (SOC): 11.17 Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.17 Centro de operaciones de seguridad (SOC): 11.17 Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables 3.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.17 Centro de operaciones de seguridad (SOC): 11.17 La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.17 Centro de operaciones de seguridad (SOC): 11.17 La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Centro de operaciones de seguridad (SOC) RMiT 11.18 Centro de operaciones de seguridad (SOC): 11.18 Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados 2.1.0
Administración de riesgos cibernéticos RMiT 11.2 Administración de riesgos cibernéticos: 11.2 Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Administración de riesgos cibernéticos RMiT 11.2 Administración de riesgos cibernéticos: 11.2 Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.20 Centro de operaciones de seguridad (SOC): 11.20 Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Centro de operaciones de seguridad (SOC) RMiT 11.20 Centro de operaciones de seguridad (SOC): 11.20 Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host 1.0.0
Administración de riesgos cibernéticos RMiT 11.4 Administración de riesgos cibernéticos: 11.4 Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación 9.0.0
Administración de riesgos cibernéticos RMiT 11.4 Administración de riesgos cibernéticos: 11.4 Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación 9.0.0
Administración de riesgos cibernéticos RMiT 11.4 Administración de riesgos cibernéticos: 11.4 Solo deben instalarse las extensiones de máquina virtual aprobadas 1.0.0
Administración de riesgos cibernéticos RMiT 11.4 Administración de riesgos cibernéticos: 11.4 Solo deben instalarse las extensiones de máquina virtual aprobadas 1.0.0
Operaciones de ciberseguridad RMiT 11.8 Operaciones de ciberseguridad: 11.8 Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.2 de RMiT Medidas de control sobre ciberseguridad: anexo 5.2 Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.2 de RMiT Medidas de control sobre ciberseguridad: anexo 5.2 Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 El reenvío de IP en la máquina virtual debe estar deshabilitado 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center 1.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. 1.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. 1.1.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red 3.0.0
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Medidas de control sobre ciberseguridad Anexo 5.7 de RMiT Medidas de control sobre ciberseguridad: anexo 5.7 Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse 3.0.0

UK OFFICIAL y UK NHS

Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte UK OFFICIAL.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Protección de datos en tránsito 1 Protección de datos en tránsito Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros 4.0.0
Identidad y autenticación 10 Identidad y autenticación Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades 4.0.0
Identidad y autenticación 10 Identidad y autenticación Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario 4.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña 3.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 3.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Linux que tengan cuentas sin contraseña 3.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas virtuales que no utilizan discos administrados 1.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores 2.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días 2.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día 2.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña 2.0.0
Identidad y autenticación 10 Identidad y autenticación Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres 2.0.0
Identidad y autenticación 10 Identidad y autenticación Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux 3.0.0
Identidad y autenticación 10 Identidad y autenticación Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows 1.2.0
Identidad y autenticación 10 Identidad y autenticación Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager 1.0.0
Protección de la interfaz externa 11 Protección de la interfaz externa Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Protección de la interfaz externa 11 Protección de la interfaz externa Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet 3.0.0
Protección de la interfaz externa 11 Protección de la interfaz externa Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual 3.0.0
Protección de la interfaz externa 11 Protección de la interfaz externa La solución de protección del punto de conexión debe instalarse en las máquinas virtuales 3.0.0
Protección de la interfaz externa 11 Protección de la interfaz externa Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. 3.0.0
Resistencia y protección de los recursos 2.3 Protección de los datos en reposo Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento 2.0.3
Seguridad operativa 5.2 Administración de vulnerabilidades Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales 3.0.0
Seguridad operativa 5.2 Administración de vulnerabilidades Supervisar la falta de Endpoint Protection en Azure Security Center 3.0.0
Seguridad operativa 5.2 Administración de vulnerabilidades Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales 3.0.0
Seguridad operativa 5.2 Administración de vulnerabilidades Se deben instalar actualizaciones del sistema en las máquinas 4.0.0
Seguridad operativa 5.2 Administración de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas 3.0.0
Seguridad operativa 5.2 Administración de vulnerabilidades Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales 3.0.0
Seguridad operativa 5.3 Supervisión de protección Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas 3.0.0
Seguridad operativa 5.3 Supervisión de protección Auditoría de máquinas virtuales sin la recuperación ante desastres configurada 1.0.0

Pasos siguientes