Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a IoT Hub. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a IoT Hub.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admitan la característica de Private Link, para establecer un punto de acceso privado para los recursos.
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública".
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL ip de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Notas de características: puede usar Azure Active Directory (Azure AD) para autenticar solicitudes en Azure IoT Hub API de servicio, como crear identidad de dispositivo e invocar método directo. También puede usar el control de acceso basado en roles de Azure (RBAC de Azure) para autorizar esas mismas API del servicio. Al usar conjuntamente estas tecnologías, puede conceder permisos para acceder a API del servicio IoT Hub a una entidad de seguridad de Azure AD. Esta entidad de seguridad podría ser un usuario, grupo o entidad de servicio de aplicación.
Durante la implementación de IoT Hub, al usuario que implementa el servicio se le asignan permisos para acceder a las API de servicio de IoT Hub.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Notas de características: al implementar IoT Hub, puede decidir cómo administrar el acceso al centro de IoT. Permita directivas de acceso compartido o elija solo el control de acceso basado en roles. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.
Descripción: el plano de datos admite la autenticación mediante entidades de servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión peligroso o requerir dispositivos administrados por la organización para aplicaciones específicas.
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: con Azure AD y RBAC, IoT Hub requiere que la entidad de seguridad que solicite la API tenga el nivel de permiso adecuado para la autorización. Para conceder permiso a la entidad de seguridad, asígnele también una asignación de roles.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida y pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente).
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
False
No es aplicable
No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
True
Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics.
Más información.
Compatible
Habilitado de forma predeterminada
Responsabilidad de configuración
True
False
Cliente
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para acciones que obtienen un secreto de un almacén de claves o Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
Obtenga información sobre Azure Backup antes de aprender a implementar almacenes de recuperación y directivas de Azure Backup. Obtenga información sobre cómo implementar la recuperación de máquinas virtuales de IaaS Windows, cómo realizar copias de seguridad y restauraciones de cargas de trabajo locales y cómo administrar copias de seguridad de máquinas virtuales de Azure.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.