Base de referencia de seguridad de Azure para Application Gateway
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Application Gateway. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Application Gateway.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Application Gateway. Para ver cómo Application Gateway se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Application Gateway.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Application Gateway, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Redes |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena contenido de cliente en reposo | True |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: configuración de infraestructura de Application Gateway
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.
Referencia: Grupos de seguridad de red
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Network:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica de Private Link, para establecer un punto de acceso privado para los recursos.
Referencia: Configuración de Azure Application Gateway Private Link (versión preliminar)
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: se requiere conectividad pública limitada para la administración de Application Gateway.
Para obtener más información, visite: Application Gateway configuración de la infraestructura
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: aunque es posible que las identidades administradas de otros servicios no se autentiquen en Application Gateway, Application Gateway puede usar una identidad administrada para autenticarse en Azure Key Vault y es opcional especificarla en el momento de la implementación. El servicio respeta los controles RBAC de Azure.
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: cuando el cliente carga un certificado TLS, se almacena automáticamente en un servicio administrado de Azure Key Vault.
Application Gateway v1 no admite la integración de Azure Key Vault. Las credenciales y los certificados se almacenan en un almacén de secretos diferente.
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Referencia: Configuración de un Application Gateway con terminación TLS mediante el Azure Portal
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Protección de los datos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: aparte de la configuración de recursos (que incluye los certificados de servidor TLS del cliente), Application Gateway solo almacena datos transitorios al proxy de las solicitudes a los clientes back-end.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: los datos de configuración de recursos del cliente siempre se transportan a través de canales TLS en el plano de control. En el plano de datos, el servicio permite al cliente elegir entre las variantes TCP y TLS. Los clientes eligen según sus propias necesidades.
Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Referencia: Información general sobre la terminación TLS y TLS de un extremo a otro con Application Gateway
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: los datos del cliente relacionados con la configuración de recursos se almacenan en una cuenta de almacenamiento habilitada para cifrado y los secretos se almacenan en una instancia administrada de Azure Key Vault. Solo se envían datos de configuración de recursos a Kusto para análisis de DRI/desarrollo.
Dado que Application Gateway es un producto proxy, no almacena el tráfico de datos en tiempo de ejecución del cliente y simplemente lo envía a través del back-end. El servicio tiene temporalmente el tráfico de red en un formulario sin cifrar en la memoria mientras lo proxya al back-end/cliente.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para los certificados de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: cuando el cliente carga un certificado TLS, se almacena automáticamente en un servicio administrado de Azure Key Vault.
Application Gateway v1 no admite la integración de Azure Key Vault. Las credenciales y los certificados se almacenan en un almacén de secretos diferente.
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, la importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez demasiado largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen rotando mediante métodos manuales en Azure Key Vault y la aplicación.
Referencia: Terminación TLS con certificados de Key Vault
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Las puertas de enlace de aplicaciones se aprovisionan en la red virtual del cliente y, con la prohibición de ciertas exenciones necesarias para el tráfico de administración, el cliente puede aplicar todas las directivas de Azure necesarias en una red virtual.
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar la configuración segura en los recursos de Azure.
Referencia: Azure Policy definiciones integradas para los servicios de red de Azure
Registro y detección de amenazas
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
Referencia: Registros de diagnóstico y estado de back-end para Application Gateway
Pasos siguientes
- Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.