Línea base de seguridad de Azure para Azure Communication Services
Artículo
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Communication Services. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Communication Services.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
El perfil de seguridad resume los comportamientos de alto impacto de Azure Communication Services, lo que puede dar lugar a un aumento de las consideraciones de seguridad.
Atributo de comportamiento del servicio
Value
Categoría de productos
Web
El cliente puede acceder a HOST/OS.
Sin acceso
El servicio se puede implementar en la red virtual del cliente.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública".
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: para los servicios que no admiten identidades administradas, use Azure Active Directory (Azure AD) para crear una entidad de servicio con permisos restringidos en el nivel de recursos. Configure las entidades de servicio con credenciales de certificado y vuelva a los secretos de cliente para la autenticación.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Notas de características: se usa el cifrado predeterminado de Microsoft para los datos en tránsito.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Notas de características: se usa el cifrado predeterminado de Microsoft para los datos en reposo.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para acciones que obtienen un secreto de un almacén de claves o Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
Explore el filtrado del tráfico de red con el grupo de seguridad de red, configure Microsoft Defender for Cloud, cree un área de trabajo de Log Analytics, configure la integración del agente de Log Analytics, las redes de Azure Key Vault y conecte un servidor de Azure SQL mediante un punto de conexión privado de Azure en Azure Portal. Mejore la seguridad en la nube de forma eficaz. (SC-5002)
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.