Compartir a través de


Línea de base de seguridad de Azure para Azure Policy

Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de la prueba comparativa de seguridad en la nube de Microsoft a Azure Policy. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Policy.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Se han excluido las características no aplicables a Azure Policy. Para ver cómo Azure Policy se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Policy.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Policy, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos MGMT/Gobernanza
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena contenido de cliente en reposo False

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: Azure Policy usa una identidad administrada para la corrección de recursos no compatibles.

Guía de configuración: cada asignación de Azure Policy solo se puede asociar a una identidad administrada. Sin embargo, a la identidad administrada se le pueden asignar varios roles. La configuración tiene lugar en dos pasos: primero cree una identidad administrada asignada por el sistema o asignada por el usuario y, luego, concédale los roles necesarios.

Referencia: Corrección de recursos no compatibles con Azure Policy

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: Azure Policy aprovecha el cifrado predeterminado de Microsoft para los datos en tránsito.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Cifrado doble

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.GuestConfiguration:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones a través de una red mediante el cifrado de una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: Azure Policy aprovecha el cifrado predeterminado de Microsoft para los datos en reposo.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Cifrado doble

Pasos siguientes