Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Operator Service Manager - AOSM. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Operator Service Manager - AOSM.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota
Características no aplicables al operador de Azure Service Manager: se han excluido AOSM. Para ver cómo Azure Operator Service Manager: AOSM se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Operator Service Manager - AOSM.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Operator Service Manager: AOSM, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría de productos | DevOps, híbrido/multinube, redes |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena el contenido del cliente en reposo | False |
Seguridad de las redes
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: esto cambiará con Private Link implementación. Después, actualizaremos el documento de línea base.
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: Private Link no se admite en este momento. Esta característica puede admitirse en la versión futura.
Guía de configuración: esta característica no se admite para proteger este servicio.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: Sae como para DLP: cuando se realiza nuestro trabajo en curso para habilitar Private Link, podemos atestiguar esta característica.
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de identidades
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: la identidad administrada no es necesaria para usar azure Operator Service Manager. Sin embargo, es posible que el cliente tenga que usar una identidad administrada asignada por el usuario y los permisos necesarios dependen del diseño del servicio de red (NSD).
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Cliente |
Notas de características: el cliente puede crear roles personalizados que proporcionen los permisos necesarios para acceder a azure Operator Service Manager.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Creación de un rol personalizado
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: La Caja de seguridad del cliente no se admite en este momento. Esta característica puede admitirse en futuras versiones.
Guía de configuración: esta característica no se admite para proteger este servicio.
Protección de los datos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: Hemos funcionado en curso para habilitar Private Link para los clientes en nuestro servicio. El documento de línea base debe actualizarse una vez completado el trabajo.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: en este momento no se admite el cifrado de datos en reposo mediante CMK. Esta característica puede ser compatible con el cifrado de archivos binarios dentro del inquilino del cliente en futuras versiones.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure Key Vault no es necesario usar el servicio Azure Operator Manager. Sin embargo, los clientes pueden usar Azure Key Vault para administrar de forma segura las claves de las cargas de trabajo implementadas a través del servicio Azure Operator Manager.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: la característica se admite, pero en este momento no hay ninguna documentación de prueba o orientada al cliente disponible.
Guía de configuración: esta característica no se admite para proteger este servicio.
Registro y detección de amenazas
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.