Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativa creadas y administradas por Microsoft, conocidas como integradas, para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure Virtual Network. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
Australian Government ISM PROTECTED
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Instrucciones para las redes: continuidad del servicio para servicios en línea | 1431 | Estrategias de denegación de servicio: 1431 | Azure DDoS Protection debe estar habilitado | 3.0.1 |
Canada Federal PBMM
Para revisar la forma en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte el artículo acerca del estándar PBMM federal de Canadá.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure DDoS Protection debe estar habilitado | 3.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.9 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado" | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado" | Network Watcher debe estar habilitado | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre los detalles de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado" | Network Watcher debe estar habilitado | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado" | Network Watcher debe estar habilitado | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
A fin de revisar el modo en el que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy de CIS v2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 5,1 | 5.1.6 | Asegúrese de que los registros de flujo del grupo de seguridad de red se capturen y envíen a Log Analytics | Todos los recursos del registro de flujo deben estar en estado habilitado | 1.0.1 |
| 5,1 | 5.1.6 | Asegúrese de que los registros de flujo del grupo de seguridad de red se capturen y envíen a Log Analytics | Configuración de registros de flujo de auditoría para cada red virtual | 1.0.1 |
| 5,1 | 5.1.6 | Asegúrese de que los registros de flujo del grupo de seguridad de red se capturen y envíen a Log Analytics | Los registros de flujo se deben configurar para cada grupo de seguridad de red | 1.1.0 |
| 6 | 6.6 | Asegúrese de que Network Watcher está "Habilitado" | Network Watcher debe estar habilitado | 3.0.0 |
CMMC nivel 3
Para ver la correspondencia de las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.003 | Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Control de acceso | AC.2.013 | Supervisa y controla las sesiones de acceso remoto. | Network Watcher debe estar habilitado | 3.0.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Administración de la configuración | CM.2.064 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Los registros de flujo se deben configurar para cada grupo de seguridad de red. | 1.1.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los registros de flujo se deben configurar para cada grupo de seguridad de red. | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.1.176 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.180 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los registros de flujo se deben configurar para cada grupo de seguridad de red. | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Los registros de flujo se deben configurar para cada grupo de seguridad de red. | 1.1.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Network Watcher debe estar habilitado | 3.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Network Watcher debe estar habilitado | 3.0.0 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Control de acceso | AC-4 | Aplicación del flujo de información | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Network Watcher debe estar habilitado | 3.0.0 |
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección de red | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | 1.0.0 |
| 08 Protección de red | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| Protección de red | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | 1.0.0 |
| Protección de red | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| 08 Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Network Watcher debe estar habilitado | 3.0.0 |
| 08 Protección de red | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red | Implementar la configuración de diagnóstico para grupos de seguridad de red | 2.0.1 |
| 08 Protección de red | 0886.09n2Organizational.4-09.n | 0886.09n2Organizational.4-09.n 09.06 Administración de seguridad de red | Network Watcher debe estar habilitado | 3.0.0 |
| 08 Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Network Watcher debe estar habilitado | 3.0.0 |
| 08 Protección de red | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Implementar Network Watcher al crear redes virtuales | 1.0.0 |
| Protección de red | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | 1.0.0 |
| Protección de red | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 08 Protección de red | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
IRS 1075, septiembre de 2016
Para revisar la forma en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del sistema y de las comunicaciones | 9.3.16.4 | Protección ante la denegación de servicio (SC-5) | Azure DDoS Protection debe estar habilitado | 3.0.1 |
Punto de referencia de seguridad en la nube de Microsoft
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-1 | Establecimiento de límites de segmentación de red | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Seguridad de redes | NS-3 | Implementación de un firewall en el perímetro de la red empresarial | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Seguridad de redes | NS-5 | Implementación de DDOS Protection | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Seguridad de redes | NS-6 | Implementación del firewall de aplicaciones web | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Seguridad de redes | NS-6 | Implementación del firewall de aplicaciones web | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Administración de identidades | IM-1 | Uso de una identidad centralizada y un sistema de autenticación | Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Detección y análisis: investigación de incidentes | Network Watcher debe estar habilitado | 3.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Network Watcher debe estar habilitado | 3.0.0 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Network Watcher debe estar habilitado | 3.0.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Control de acceso | AC-4 | Aplicación del flujo de información | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Network Watcher debe estar habilitado | 3.0.0 |
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Control de acceso | AC-4 | Aplicación del flujo de información | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de los registros de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Network Watcher debe estar habilitado | 3.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Network Watcher debe estar habilitado | 3.0.0 |
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a este estándar de cumplimiento, consulte Detalles de cumplimiento normativo de Azure Policy para el tema de la nube de NL BIO. Para obtener más información sobre este estándar de cumplimiento, consulte la línea de base de la seguridad de la información de la Administración pública de Digital Government (digitaleoverheid.nl).
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| U.07.1 Separación de los datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| U.07.1 Separación de los datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| U.07.1 Separación de los datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Separación de datos U.07.3: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | 1.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | 1.0.0 |
| Acceso a los servicios y datos de TI U.10.5: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y ha sido implementado. | Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | 1.0.0 |
| U.12.1 Interfaces: conexiones de red | U.12.1 | En puntos de conexión con zonas externas o que no son de confianza, se toman medidas contra ataques. | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| U.12.1 Interfaces: conexiones de red | U.12.1 | En puntos de conexión con zonas externas o que no son de confianza, se toman medidas contra ataques. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| U.12.1 Interfaces: conexiones de red | U.12.1 | En puntos de conexión con zonas externas o que no son de confianza, se toman medidas contra ataques. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| U.12.2 Interfaces: conexiones de red | U.12.2 | Los componentes de red son tales que las conexiones de red entre redes de confianza y que no son de confianza son limitadas. | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| U.12.2 Interfaces: conexiones de red | U.12.2 | Los componentes de red son tales que las conexiones de red entre redes de confianza y que no son de confianza son limitadas. | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| U.12.2 Interfaces: conexiones de red | U.12.2 | Los componentes de red son tales que las conexiones de red entre redes de confianza y que no son de confianza son limitadas. | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Registro y supervisión de U.15.1: Eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Azure Front Door debe tener habilitados los registros de recursos | 1.0.0 |
| Registro y supervisión de U.15.1: Eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Network Watcher debe estar habilitado | 3.0.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
Reserve Bank of India IT Framework for Banks v2016
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración y seguridad de red | Inventario de red-4.2 | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview | |
| Mantenimiento, supervisión y análisis de registros de auditoría | Mantenimiento, supervisión y análisis de registros de auditoría-16.1 | Todos los recursos del registro de flujo deben estar en estado habilitado | 1.0.1 | |
| Análisis forense | Análisis forense-22.1 | Azure DDoS Protection debe estar habilitado | 3.0.1 | |
| Administración y seguridad de red | Administración de configuración de dispositivos de red-4.3 | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 | |
| Mantenimiento, supervisión y análisis de registros de auditoría | Mantenimiento, supervisión y análisis de registros de auditoría-16.1 | Los registros de flujo se deben configurar para cada grupo de seguridad de red | 1.1.0 | |
| Administración y seguridad de red | Inventario de red-4.2 | Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | 1.0.1 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Network Watcher debe estar habilitado | 3.0.0 | |
| Administración y seguridad de red | Administración de configuración de dispositivos de red-4.3 | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 | |
| Administración y seguridad de red | Administración de configuración de dispositivos de red-4.3 | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 | |
| Ciclo de vida de seguridad de las aplicaciones (ASLC) | Ciclo de vida de seguridad de las aplicaciones (ASLC)-6.7 | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Todos los recursos del registro de flujo deben estar en estado habilitado | 1.0.1 |
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Las instancias de Azure VPN Gateway no deben usar la SKU "básica" | 1.0.0 |
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Los registros de flujo se deben configurar para cada grupo de seguridad de red | 1.1.0 |
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Las máquinas virtuales deben estar conectadas a una red virtual aprobada | 1.0.0 |
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Las redes virtuales deben usar la puerta de enlace de red virtual especificada | 1.0.0 |
| Resistencia de la red | 10.35 | Resistencia de la red: 10.35 | Network Watcher debe estar habilitado | 3.0.0 |
| Resistencia de la red | 10.39 | Resistencia de la red: 10.39 | Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure | 1.0.0 |
| Denegación de servicio distribuido (DDoS) | 11.13 | Denegación de servicio distribuido (DDoS): 11.13 | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Centro de operaciones de seguridad (SOC) | 11.18 | Centro de operaciones de seguridad (SOC): 11.18 | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Medidas de control sobre ciberseguridad | Apéndice 5.5 | Medidas de control sobre ciberseguridad: anexo 5.5 | Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure | 1.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.6 | Medidas de control sobre ciberseguridad: anexo 5.6 | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.6 | Medidas de control sobre ciberseguridad: anexo 5.6 | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | 1.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.6 | Medidas de control sobre ciberseguridad: anexo 5.6 | El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | 1.0.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Todos los recursos del registro de flujo deben estar en estado habilitado | 1.0.1 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Los registros de flujo se deben configurar para cada grupo de seguridad de red | 1.1.0 |
| Medidas de control sobre ciberseguridad | Apéndice 5.7 | Medidas de control sobre ciberseguridad: anexo 5.7 | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para obtener más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Network Watcher debe estar habilitado | 3.0.0 |
| Protección del entorno SWIFT | 1.1 | Protección del entorno SWIFT | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Network Watcher debe estar habilitado | 3.0.0 |
SWIFT CSP-CSCF v2022
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Network Watcher debe estar habilitado | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Azure DDoS Protection debe estar habilitado | 3.0.1 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Network Watcher debe estar habilitado | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Todos los recursos del registro de flujo deben estar en estado habilitado | 1.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Los registros de flujo se deben configurar para cada grupo de seguridad de red | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | 1.0.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Network Watcher debe estar habilitado | 3.0.0 |
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Controles de acceso lógico y físico | CC6.1 | Software, infraestructura y arquitecturas de seguridad del acceso lógico | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | 3.0.0-preview |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | 1.0.2 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | 2.0.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Las subredes deben estar asociadas con un grupo de seguridad de red | 3.0.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Network Watcher debe estar habilitado | 3.0.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Network Watcher debe estar habilitado | 3.0.0 |
UK OFFICIAL y UK NHS
Para ver cómo se asignan las integraciones de Azure Policy disponibles para todos los servicios de Azure a este estándar de cumplimiento, consulte el artículo sobre el cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte el artículo acerca de UK OFFICIAL.
| Domain | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad operativa | 5.3 | Supervisión de protección | Azure DDoS Protection debe estar habilitado | 3.0.1 |
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.