Control de seguridad: administración de posiciones y vulnerabilidades

  • Artículo

La administración de posiciones y vulnerabilidades se centra en controles que evalúan y mejoran la posición de seguridad en la nube, incluidos el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, informes y la corrección en los recursos en la nube.

PV-1: Definición y establecimiento de configuraciones seguras

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1,1

Principio de seguridad: defina las líneas de base de configuración de seguridad para los distintos tipos de recursos en la nube. Como alternativa, use las herramientas de administración de configuración para establecer la línea de base de configuración automáticamente antes o durante la implementación de recursos para que el entorno pueda ser compatible de forma predeterminada después de la implementación.

Guía de Azure: use microsoft Cloud Security Benchmark y la línea de base del servicio para definir la línea base de configuración para cada oferta o servicio de Azure correspondiente. Consulte la arquitectura de referencia de Azure y Cloud Adoption Framework arquitectura de la zona de aterrizaje para comprender los controles de seguridad críticos y las configuraciones que pueden ser necesarios en los recursos de Azure.

Use la zona de aterrizaje de Azure (y blueprints) para acelerar la implementación de la carga de trabajo mediante la configuración de servicios y entornos de aplicación, incluidas las plantillas de Azure Resource Manager, los controles RBAC de Azure y los Azure Policy.

Implementación de Azure y contexto adicional:

Guía de AWS: use Microsoft Cloud Security Benchmark: guía de varias nubes para AWS y otra entrada para definir la línea base de configuración para cada oferta o servicio de AWS respectivo. Consulte el pilar de seguridad y otros pilares de AWS Well-Architectured Framework para comprender los controles de seguridad críticos y las configuraciones que pueden ser necesarios en los recursos de AWS.

Use las plantillas de AWS CloudFormation y las reglas de AWS Config en la definición de la zona de aterrizaje de AWS para automatizar la implementación y configuración de servicios y entornos de aplicación.

Implementación de AWS y contexto adicional:

Guía de GCP: use Microsoft Cloud Security Benchmark: guía de varias nubes para GCP y otra entrada para definir la línea base de configuración para cada oferta o servicio de GCP correspondiente. Consulte los pilares de los planos técnicos básicos de las implementaciones de Google Cloud y el diseño de la zona de aterrizaje.

Use módulos de planos técnicos de Terraform para Google Cloud y use Google Cloud Deployment Manager nativo para automatizar la implementación y configuración de servicios y entornos de aplicación.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-2: Auditoría y aplicación de configuraciones seguras

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Principio de seguridad: supervise y alerte de manera continua cuando haya una desviación de la línea de base de configuración definida. Aplique la configuración deseada según la configuración de línea de base denegando la configuración no compatible o implementando una configuración.

Guía de Azure: use Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos.

Use Azure Policy reglas [deny] e [deploy if not exist] para aplicar la configuración segura en los recursos de Azure.

Para la auditoría y el cumplimiento de la configuración de recursos no compatibles con Azure Policy, es posible que tenga que escribir scripts personalizados o usar herramientas de terceros para implementar la auditoría de configuración y la aplicación.

Implementación de Azure y contexto adicional:

Guía de AWS: use las reglas de AWS Config para auditar las configuraciones de los recursos de AWS. Y puede optar por resolver el desfase de configuración mediante AWS Systems Manager Automation asociado a la regla de AWS Config. Use Amazon CloudWatch para crear alertas cuando se detecte una desviación de la configuración en los recursos.

En el caso de la auditoría y aplicación de la configuración de recursos no compatible con AWS Config, es posible que tenga que escribir scripts personalizados o usar herramientas de terceros para implementar la auditoría de configuración y la aplicación.

También puede supervisar de forma centralizada el desfase de configuración incorporando su cuenta de AWS a Microsoft Defender for Cloud.

Implementación de AWS y contexto adicional:

Guía de GCP: use Google Cloud Security Command Center para configurar GCP. Use Google Cloud Monitoring in Operations Suite para crear alertas cuando se detecte una desviación de configuración en los recursos.

Para gobernar las organizaciones, use la directiva organizativa para centralizar y controlar mediante programación los recursos en la nube de la organización. Como administrador de directivas de la organización, podrá configurar restricciones en toda la jerarquía de recursos.

Para la auditoría y el cumplimiento de la configuración de recursos no compatibles con la directiva de organización, es posible que tenga que escribir scripts personalizados o usar herramientas de terceros para implementar la auditoría de configuración y la aplicación.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2,2

Principio de seguridad: defina las líneas de base de configuración segura para los recursos de proceso, como máquinas virtuales y contenedores. Use las herramientas de administración de configuración para establecer la línea de base de configuración automáticamente antes o durante la implementación de recursos de proceso para que el entorno pueda ser compatible de forma predeterminada después de la implementación. Como alternativa, use una imagen preconfigurada para crear la línea de base de configuración deseada en la plantilla de imagen de recursos de proceso.

Guía de Azure: use las líneas base de seguridad del sistema operativo recomendadas de Azure (para Windows y Linux) como punto de referencia para definir la línea base de configuración de recursos de proceso.

Además, puede usar una imagen de máquina virtual personalizada (mediante Azure Image Builder) o una imagen de contenedor con Azure Automanage Machine Configuration (anteriormente denominada Azure Policy Configuración de invitado) y Azure Automation State Configuration para establecer la configuración de seguridad deseada.

Implementación de Azure y contexto adicional:

Guía de AWS: use EC2 AWS Machine Images (AMI) de orígenes de confianza en Marketplace como punto de referencia para definir la línea base de configuración ec2.

Además, puede usar EC2 Image Builder para crear una plantilla de AMI personalizada con un agente de Systems Manager para establecer la configuración de seguridad deseada. Nota: Aws Systems Manager Agent está preinstalado en algunas imágenes de Amazon Machine (AMI) proporcionadas por AWS.

En el caso de aplicaciones de carga de trabajo que se ejecutan dentro de las instancias de EC2, AWS Lambda o el entorno de contenedores, puede usar AWS System Manager AppConfig para establecer la línea de base de configuración deseada.

Implementación de AWS y contexto adicional:

Guía de GCP: use las líneas base de seguridad del sistema operativo recomendadas de Google Cloud (para Windows y Linux) como prueba comparativa para definir la línea base de configuración de recursos de proceso.

Además, puede usar una imagen de máquina virtual personalizada mediante Packer Image Builder o una imagen de contenedor con la imagen de contenedor de Google Cloud Build para establecer la línea base de configuración deseada.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-4: Auditoría y aplicación de configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2,2

Principio de seguridad: supervise y alerte de manera continua cuando haya una desviación de la línea de base de configuración definida en sus recursos de proceso. Aplique la configuración deseada según la configuración de línea de base denegando la configuración no compatible o implementando una configuración en los recursos de proceso.

Guía de Azure: use Microsoft Defender for Cloud y Azure Automanage Machine Configuration (anteriormente denominada Azure Policy Guest Configuration) para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizado o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo. Las plantillas de máquina virtual de Microsoft combinadas con State Configuration de Azure Automation pueden ayudarle a cumplir y mantener los requisitos de seguridad. Use Seguimiento de cambios e inventario en Azure Automation para realizar un seguimiento de los cambios en las máquinas virtuales hospedadas en Azure, el entorno local y otros entornos en la nube para ayudarle a identificar los problemas operativos y ambientales con el software administrado por el Administrador de paquetes de distribución. Instale el agente de atestación de invitado en máquinas virtuales para supervisar la integridad de arranque en máquinas virtuales confidenciales.

Nota: Microsoft administra y mantiene las imágenes de máquina virtual de Azure Marketplace que publica Microsoft.

Implementación de Azure y contexto adicional:

Guía de AWS: use la característica Administrador de estado de AWS System Manager para evaluar y corregir periódicamente las desviaciones de configuración en las instancias de EC2. Además, puede usar plantillas de CloudFormation e imágenes de sistema operativo personalizadas para mantener la configuración de seguridad del sistema operativo. Las plantillas de AMI combinadas con Systems Manager pueden ayudarle a cumplir y mantener los requisitos de seguridad.

También puede supervisar y administrar de forma centralizada el desfase de configuración del sistema operativo a través de Azure Automation State Configuration e incorporar los recursos aplicables a la gobernanza de seguridad de Azure mediante los métodos siguientes:

  • Incorporación de su cuenta de AWS a Microsoft Defender for Cloud
  • Uso de Azure Arc para servidores para conectar las instancias ec2 a Microsoft Defender for Cloud

En el caso de aplicaciones de carga de trabajo que se ejecutan dentro de las instancias de EC2, AWS Lambda o el entorno de contenedores, puede usar AWS System Manager AppConfig para auditar y aplicar la línea de base de configuración deseada.

Nota: Las AMI publicadas por Amazon Web Services en AWS Marketplace son administradas y mantenidas por Amazon Web Services.

Implementación de AWS y contexto adicional:

Guía de GCP: use VM Manager y Google Cloud Security Command Center para evaluar y corregir periódicamente la desviación de configuración de las instancias del motor de proceso, los contenedores y los contratos sin servidor. Además, puede usar plantillas de máquina virtual de Deployment Manager, imágenes de sistema operativo personalizadas para mantener la configuración de seguridad del sistema operativo. Las plantillas de vm de Deployment Manager junto con VM Manager pueden ayudar a cumplir y mantener los requisitos de seguridad.

También puede supervisar y administrar de forma centralizada el desfase de configuración del sistema operativo a través de Azure Automation State Configuration e incorporar los recursos aplicables a la gobernanza de seguridad de Azure mediante los métodos siguientes:

  • Incorporación del proyecto de GCP a Microsoft Defender for Cloud
  • Uso de Azure Arc para servidores para conectar las instancias de máquina virtual de GCP a Microsoft Defender for Cloud

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-5: Realización de evaluaciones de vulnerabilidades

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Principio de seguridad: realice la evaluación de vulnerabilidades de los recursos en la nube en todos los niveles según una programación fija o a petición. Realice un seguimiento y compare los resultados del examen para comprobar que las vulnerabilidades se han corregido. La evaluación debe incluir todo tipo de vulnerabilidades, como vulnerabilidades en servicios de Azure, red, web, sistemas operativos, configuraciones incorrectas, etc.

Tenga en cuenta los posibles riesgos asociados con el acceso con privilegios que usan los escáneres de vulnerabilidades. Siga el procedimiento recomendado de seguridad de acceso con privilegios para proteger las cuentas administrativas usadas para el examen.

Guía de Azure: siga las recomendaciones de Microsoft Defender for Cloud sobre cómo realizar evaluaciones de vulnerabilidades en sus máquinas virtuales de Azure, imágenes de contenedor y servidores SQL. Microsoft Defender for Cloud tiene un escáner de vulnerabilidades integrado para máquinas virtuales. Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones (por ejemplo, aplicaciones web).

Exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede ir al portal de la solución de examen seleccionada para ver los datos de análisis históricos.

Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Nota: Microsoft Defender servicios (incluidos Defender para servidores, contenedores, App Service, base de datos y DNS) insertan determinadas funcionalidades de evaluación de vulnerabilidades. Las alertas generadas por servicios de Azure Defender deben supervisarse y revisarse junto con el resultado de la herramienta de examen de vulnerabilidades de Microsoft Defender for Cloud.

Nota: Asegúrese de configurar las notificaciones por correo electrónico en Microsoft Defender for Cloud.

Implementación de Azure y contexto adicional:

Guía de AWS: use Amazon Inspector para examinar las instancias de EC2 de Amazon y las imágenes de contenedor que residen en Amazon Elastic Container Registry (Amazon ECR) para detectar vulnerabilidades de software y exposiciones de red no deseadas. Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones (por ejemplo, aplicaciones web).

Consulte el control ES-1, "Use Endpoint Detection and Response (EDR)", para incorporar su cuenta de AWS en Microsoft Defender for Cloud e implementar Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrados) en las instancias ec2. Microsoft Defender para servidores proporciona una funcionalidad nativa de administración de amenazas y vulnerabilidades para las máquinas virtuales. El resultado del examen de vulnerabilidades se consolidará en el panel de Microsoft Defender for Cloud.

Realice un seguimiento del estado de los resultados de vulnerabilidades para asegurarse de que se corrigen correctamente o se suprimen si se consideran falsos positivos.

Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar una metodología de aprovisionamiento temporal para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Implementación de AWS y contexto adicional:

Guía de GCP: siga las recomendaciones de Microsoft Defender for Cloud o Google Cloud Security Command Center para realizar evaluaciones de vulnerabilidades en las instancias de Compute Engine. Security Command Center tiene evaluaciones de vulnerabilidades integradas en dispositivos y aplicaciones de red (por ejemplo, Web Security Scanner)

Exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar las recomendaciones de administración de vulnerabilidades sugeridas por Security Command Center, puede dinamizar en el portal de la solución de examen seleccionado para ver los datos de análisis históricos.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-6: Reparación rápida y automática de vulnerabilidades

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORRECCIÓN DE ERRORES 6.1, 6.2, 6.5, 11.2

Principio de seguridad: implemente revisiones y actualizaciones de forma rápida y automática para corregir vulnerabilidades en los recursos en la nube. Use el enfoque basado en riesgos adecuado para priorizar la corrección de vulnerabilidades. Por ejemplo, las vulnerabilidades más graves en un recurso de mayor valor deben abordarse con una prioridad más alta.

Guía de Azure: use Azure Automation Update Management o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.

Para software de terceros, use una solución de administración de revisiones de terceros o Microsoft System Center Novedades Publisher para Configuration Manager.

Implementación de Azure y contexto adicional:

Guía de AWS: use AWS Systems Manager - Patch Manager para asegurarse de que estén instaladas las actualizaciones de seguridad más recientes en sus sistemas operativos y aplicaciones. Patch Manager admite líneas de base de revisión para permitirle definir una lista de revisiones aprobadas y rechazadas para los sistemas.

También puede usar Update Management de Azure Automation para administrar de forma centralizada las revisiones y actualizaciones de las instancias de Windows y Linux de AWS EC2.

Para software de terceros, use una solución de administración de revisiones de terceros o Microsoft System Center Novedades Publisher para Configuration Manager.

Implementación de AWS y contexto adicional:

Guía de GCP: use la administración de revisiones del sistema operativo de Google Cloud VM Manager o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update se ha habilitado y establecido para actualizarse automáticamente.

Para software de terceros, use una solución de administración de revisiones de terceros o Microsoft System Center Novedades Publisher para la administración de la configuración.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

PV-7: Realización de operaciones periódicas del equipo rojo

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Ids. de PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Principio de seguridad: simule ataques reales para proporcionar una visión más completa de la vulnerabilidad de su organización. Las operaciones de equipo rojo y las pruebas de penetración complementan el enfoque tradicional de examen de vulnerabilidades para detectar riesgos.

Siga los procedimientos recomendados del sector para diseñar, preparar y realizar este tipo de pruebas para asegurarse de que no provocarán daños ni interrupciones en su entorno. Esto siempre debe incluir la discusión sobre el ámbito de prueba y las restricciones con las partes interesadas y los propietarios de recursos pertinentes.

Guía de Azure: según sea necesario, realice pruebas de penetración o actividades del equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Implementación de Azure y contexto adicional:

Guía de AWS: según sea necesario, realice pruebas de penetración o actividades del equipo rojo en los recursos de AWS y asegúrese de corregir todos los resultados de seguridad críticos.

Siga la Directiva de soporte al cliente de AWS para pruebas de penetración para asegurarse de que las pruebas de penetración no infringen las directivas de AWS.

Implementación de AWS y contexto adicional:

Guía de GCP: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en el recurso de GCP y asegúrese de corregir todos los resultados de seguridad críticos.

Siga la directiva de soporte técnico al cliente de GCP para pruebas de penetración para asegurarse de que las pruebas de penetración no infringen las directivas de GCP.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):