Línea base de seguridad de Azure para Azure Remote Rendering
Artículo
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Remote Rendering. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Remote Rendering.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
El perfil de seguridad resume los comportamientos de alto impacto de Azure Remote Rendering, lo que puede dar lugar a mayores consideraciones de seguridad.
Atributo de comportamiento del servicio
Value
Categoría de productos
Mixed Reality
El cliente puede acceder a HOST/OS.
Sin acceso
El servicio se puede implementar en la red virtual del cliente.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública".
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: no envíe la aplicación a producción mediante una clave de cuenta insertada en ella. El enfoque recomendado es usar un enfoque de autenticación de Azure AD basado en el usuario o en el servicio para que la aplicación se autentique en Azure Remote Rendering.
Descripción: el plano de datos admite la autenticación mediante entidades de servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Customer
Guía de configuración: para ayudar a controlar el nivel de acceso concedido al servicio, use los siguientes roles al conceder acceso basado en roles:
Administrador de Remote Rendering: proporciona al usuario funcionalidades de conversión, administración de sesiones, representación y diagnóstico para Azure Remote Rendering.
Cliente de Remote Rendering: proporciona al usuario funcionalidades de administración de sesiones, representación y diagnóstico para Azure Remote Rendering.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Explore el filtrado del tráfico de red con el grupo de seguridad de red, configure Microsoft Defender for Cloud, cree un área de trabajo de Log Analytics, configure la integración del agente de Log Analytics, las redes de Azure Key Vault y conecte un servidor de Azure SQL mediante un punto de conexión privado de Azure en Azure Portal. Mejore la seguridad en la nube de forma eficaz. (SC-5002)
Demuestra las aptitudes necesarias para implementar controles de seguridad, mantener una posición de seguridad de la organización e identificar y corregir los puntos vulnerables de seguridad.