Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea base de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a IaaS de SQL. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a IaaS de SQL.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a IaaS de SQL. Para ver cómo SQL IaaS se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de IaaS de SQL.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de IaaS de SQL, lo que puede dar lugar a un aumento de las consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Bases de datos |
| El cliente puede acceder a HOST/OS. | Acceso total |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena el contenido del cliente en reposo | True |
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Redes virtuales y máquinas virtuales en Azure
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.
Nota: Para permitir el tráfico al SQL Server en la máquina virtual, agregue una regla de NSG para el puerto 1433.
Referencia: Redes virtuales y máquinas virtuales en Azure: grupos de seguridad de red
NS-2: Servicios en la nube seguros con controles de red
Características
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica también se puede configurar en el firewall del sistema operativo invitado de la máquina virtual.
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL ip de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.
Referencia: Desasociar una dirección IP pública de una máquina virtual de Azure
Administración de identidades
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere la extensión del agente de IaaS de SQL Server. SQL Server 2022 en una máquina virtual Windows ahora admite la autenticación de cliente mediante AAD.
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticación de Azure Active Directory para SQL Server
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica tiene documentación independiente disponible para Windows y Linux. Normalmente, la máquina virtual Windows aprovecha la identidad administrada para autenticarse en otros servicios. La identidad administrada se puede usar para autenticar servicios en la máquina virtual.
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio cuando sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere SQL Server 2022 y la extensión del agente de IaaS de SQL Server.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Habilitación de la autenticación de Azure AD para SQL Server en máquinas virtuales de Azure
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica está disponible a través de Azure Active Directory (AD) y requiere que Azure AD se configure en el servidor.
Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
Referencia: Planeamiento de una implementación de acceso condicional
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: evite el uso de cuentas o métodos de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: RBAC de Azure se admite como el portal y el nivel de máquina virtual, pero no se propaga a SQL Server.
Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.
Referencia: Asignación de roles de Azure mediante el Azure Portal
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use herramientas como Azure Purview, Azure Information Protection y Azure SQL detección y clasificación de datos para examinar, clasificar y etiquetar de forma centralizada cualquier dato confidencial que resida en Azure, en el entorno local, en Microsoft 365 u otras ubicaciones.
Referencia: Conexión y administración de una instancia local de SQL Server en Microsoft Purview
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida y pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere la extensión del agente de IaaS de SQL Server.
Guía de configuración: si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host desde Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles preventivos o de detección para evitar la filtración de datos.
Referencia: Habilitación de Microsoft Defender para servidores SQL Server en máquinas
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: habilite la transferencia segura en los servicios en los que haya integrada una característica nativa de cifrado de datos en tránsito. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se use TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Referencia: Cifrado en tránsito en máquinas virtuales
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: esta característica tiene documentación independiente disponible para Windows y Linux.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Azure Disk Encryption para máquinas virtuales Windows
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: el Conector de SQL Server para Microsoft Azure Key Vault permite que el cifrado SQL Server use microsoft Azure Key Vault como proveedor de administración extensible de claves (EKM) para proteger sus claves de cifrado.
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.
Referencia: Directivas recomendadas para los servicios de Azure
AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual
Características
Microsoft Defender for Cloud: controles de aplicaciones adaptables
Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicación adaptables en Microsoft Defender for Cloud. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: los controles de aplicación adaptables se pueden implementar en la máquina virtual.
Guía de configuración: use Microsoft Defender para controles de aplicaciones adaptables en la nube para detectar aplicaciones que se ejecutan en máquinas virtuales (VM) y generar una lista de permitidos de aplicación para exigir qué aplicaciones aprobadas se pueden ejecutar en el entorno de máquina virtual.
Referencia: Usar controles de aplicación adaptables para reducir las superficies expuestas a ataques de las máquinas
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere la extensión agente de IaaS de SQL.
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de administración. Cuando reciba una alerta de Microsoft Defender para Key Vault, investigue y responda a la alerta.
Referencia: Habilitación de Microsoft Defender para servidores SQL Server en máquinas
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para acciones que obtienen un secreto de un almacén de claves o Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
Referencia: Supervisión de máquinas virtuales de Azure
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.
PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso
Características
State Configuration de Azure Automation
Descripción: Azure Automation State Configuration se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use Azure Automation State Configuration para mantener la configuración de seguridad del sistema operativo.
Referencia: Habilitar Azure Automation State Configuration
Agente de configuración de invitado de Azure Policy
Descripción: Azure Policy agente de configuración de invitado se puede instalar o implementar como una extensión para calcular recursos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere la extensión de configuración de la máquina y una identidad administrada.
Guía de configuración: use Microsoft Defender for Cloud y Azure Policy agente de configuración de invitado para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.
Referencia: Habilitación de Azure Automanage para máquinas virtuales en el Azure Portal
Imágenes de máquina virtual personalizadas
Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes pregeneradas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: esta característica tiene documentación independiente para Windows y Linux.
Guía de configuración: use una imagen protegida preconfigurada de un proveedor de confianza, como Microsoft, o cree una línea base de configuración segura deseada en la plantilla de imagen de máquina virtual.
Referencia: Tutorial: Creación de imágenes de máquina virtual Windows con Azure PowerShell
PV-5: Realización de evaluaciones de vulnerabilidades
Características
Evaluación de vulnerabilidades mediante Microsoft Defender
Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender para la nube u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios Microsoft Defender (incluidos Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure, las imágenes de contenedor y los servidores SQL Server.
Referencia: Examen de los servidores SQL Server en busca de vulnerabilidades
PV-6: Reparación rápida y automática de vulnerabilidades
Características
Update Management en Azure Automation
Descripción: el servicio puede usar Azure Automation Update Management para implementar revisiones y actualizaciones automáticamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use Azure Automation Update Management o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.
Referencia: Habilitación de Update Management para una máquina virtual de Azure
Seguridad de punto de conexión
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
Características
Solución EDR
Descripción: la característica detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica tiene documentación independiente disponible para Linux en Microsoft Defender para punto de conexión en Linux.
Guía de configuración: Azure Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender for Cloud para implementar Azure Defender para servidores para el punto de conexión e integrar las alertas en la solución SIEM, como Azure Sentinel.
Referencia: Incorporación de Windows Server de Defender para punto de conexión
ES-2: Uso de software antimalware moderno
Características
Solución antimalware
Descripción: característica antimalware, como Microsoft Defender Antivirus, Microsoft Defender para punto de conexión se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: para Windows Server 2016 y versiones posteriores, Microsoft Defender para antivirus se instala de forma predeterminada. Para Windows Server 2012 R2 y versiones posteriores, los clientes pueden instalar SCEP (System Center Endpoint Protection). Para Linux, los clientes pueden tener la opción de instalar Microsoft Defender para Linux. Como alternativa, los clientes también tienen la opción de instalar productos antimalware de terceros.
Referencia: Microsoft Defender Antivirus en Windows
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
Características
Supervisión del estado de la solución antimalware
Descripción: la solución antimalware proporciona supervisión del estado de mantenimiento para las actualizaciones automáticas de firma, motor y plataforma. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: configure la solución antimalware para asegurarse de que la plataforma, el motor y las firmas se actualizan de forma rápida y coherente y se puede supervisar su estado.
Referencia: Microsoft Defender Antivirus en Windows
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Azure Backup
Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: habilite Azure Backup y configure el origen de copia de seguridad (como Azure Virtual Machines, SQL Server, bases de datos de HANA o recursos compartidos de archivos) en una frecuencia deseada y con un período de retención deseado. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.
Referencia: Copia de seguridad de un SQL Server desde el panel de la máquina virtual
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: esta característica requiere la extensión del agente de IaaS de SQL Server. Esta característica solo se puede configurar en Azure Portal para implementaciones de Windows. Use Azure PowerShell para administrar la copia de seguridad automatizada para implementaciones de Linux.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Copia de seguridad y restauración de SQL Server en máquinas virtuales de Azure
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.