Línea base de seguridad de Azure para Azure Cosmos DB para PostgreSQL
Artículo
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Azure Cosmos DB para PostgreSQL. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Cosmos DB para PostgreSQL.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
El perfil de seguridad resume los comportamientos de alto impacto de Azure Cosmos DB para PostgreSQL, lo que puede dar lugar a mayores consideraciones de seguridad.
Atributo de comportamiento del servicio
Value
Categoría de productos
Bases de datos
El cliente puede acceder a HOST/OS.
Sin acceso
El servicio se puede implementar en la red virtual del cliente.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: habilite el acceso privado para el coordinador en el momento del aprovisionamiento de clústeres de Azure Cosmos DB para PostgreSQL. Esto proporcionaría a los hosts de la red virtual (VNet) seleccionada acceso a la subred y al coordinador del clúster a través de una dirección IP privada en la subred seleccionada.
Si necesita acceso privado a los nodos de trabajo, agregue puntos de conexión privados para cada nodo de trabajo en la pestaña Redes del clúster después de aprovisionarlo.
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública".
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: deshabilite el acceso a la red pública asegurándose de que no hay reglas de firewall en la configuración de red y que las casillas "Permitir el acceso público desde los servicios y recursos de Azure dentro de Azure a este clúster" y "Habilitar el acceso a los nodos de trabajo" están desactivadas. Esta configuración deshabilitaría eficazmente el acceso público a los nodos del clúster.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Notas de características: evite el uso de cuentas o métodos de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Notas de características: evite el uso de cuentas o métodos de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para los certificados de cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: habilite el streaming de registros de Postgres desde nodos de clúster a una cuenta de almacenamiento de Azure, un centro de eventos o un área de trabajo de Log Analytics.
Administre una infraestructura de base de datos de SQL Server para bases de datos relacionales locales e híbridas en la nube mediante las ofertas de bases de datos relacionales PaaS de Microsoft.