Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para obtener una introducción al proyecto de pruebas comparativas de seguridad en la nube de Microsoft, incluidos los conceptos clave, la guía de implementación y la terminología, consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
La prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar) proporciona instrucciones mejoradas centradas en Azure con dominios de seguridad expandidos y detalles completos de implementación técnica. Esta versión se basa en la base del banco de pruebas de seguridad en la nube de Microsoft con controles de seguridad refinados, instrucciones de seguridad de IA y asignaciones expandidas de Azure Policy.
Características clave
Nota:
Microsoft Cloud Security Benchmark v2 (versión preliminar) ya está disponible. Explore esta versión y proporcione comentarios para ayudarnos a mejorarla. Para cualquier pregunta o comentario, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.
Para obtener información sobre la versión anterior, consulte Introducción a Microsoft Cloud Security Benchmark v1.
La prueba comparativa de seguridad en la nube de Microsoft v2 (versión preliminar) incluye:
Seguridad de inteligencia artificial : un nuevo dominio de seguridad con siete recomendaciones que abarcan la seguridad de la plataforma de inteligencia artificial, la seguridad de las aplicaciones de inteligencia artificial y la supervisión de la seguridad de la inteligencia artificial para abordar las amenazas y los riesgos en las implementaciones de inteligencia artificial.
Asignaciones completas de Azure Policy : más de 420 definiciones integradas de Azure Policy para ayudarle a medir y supervisar la posición de seguridad en Azure mediante Azure Policy y Defender for Cloud.
Guía basada en riesgos y amenazas : instrucciones completas con ejemplos de implementación técnica granulares y referencias detalladas para ayudarle a comprender los riesgos de seguridad y las amenazas que mitiga cada control de seguridad y cómo implementar los controles de seguridad en su entorno de Azure.
Dominios de seguridad
| Dominio de seguridad | Descripción |
|---|---|
| Seguridad de red (NS) | La seguridad de red cubre los controles para proteger y proteger las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS. |
| Gestión de identidades (IM) | Identity Management cubre los controles para establecer controles de identidad y acceso seguros mediante sistemas de administración de identidades y acceso, incluido el uso de inicio de sesión único, autenticaciones seguras, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías de cuentas. |
| Acceso con privilegios (PA) | Acceso con privilegios cubre controles que protegen el acceso con privilegios a su inquilino a los recursos. Incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios. |
| Protección de datos (DP) | La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como detectar, clasificar, proteger y supervisar los recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados. |
| Administración de activos (AM) | Gestión de Activos cubre los controles para garantizar la visibilidad y gobernanza de la seguridad sobre sus recursos, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección). |
| Registro y detección de amenazas (LT) | El registro y la detección de amenazas abarcan los controles para detectar amenazas en la nube y habilitar, recopilar y almacenar registros de auditoría para servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en servicios en la nube. También incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización del análisis de seguridad con un SIEM, la sincronización de tiempo y la retención de registros. |
| Respuesta a incidentes (IR) | Respuesta a incidentes abarca los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure (como Microsoft Defender para la nube y Sentinel) y/o otros servicios en la nube para automatizar el proceso de respuesta a incidentes. |
| Administración de posturas y vulnerabilidades (PV) | La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad en la nube, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos en la nube. |
| Seguridad de los puntos de conexión (ES) | La seguridad de los puntos de conexión abarca los controles de detección y respuesta de puntos de conexión, como el uso de detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para puntos de conexión en entornos en la nube. |
| Copia de seguridad y recuperación (BR) | La copia de seguridad y recuperación abarca los controles para asegurarse de que las copias de seguridad de datos y configuración en los distintos niveles de servicio se realicen, validen y protejan. |
| Seguridad de DevOps (DS) | DevOps Security cubre los controles relacionados con la ingeniería y las operaciones de seguridad en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas estáticas de seguridad de aplicaciones, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad en todo el proceso de DevOps. También incluye temas comunes, como el modelado de amenazas y la seguridad de suministro de software. |
| Seguridad de inteligencia artificial (IA) | La seguridad de la inteligencia artificial cubre los controles para garantizar el desarrollo, la implementación y el funcionamiento seguros de los modelos y servicios de inteligencia artificial, incluida la seguridad de la plataforma de inteligencia artificial, la seguridad de las aplicaciones de IA y la supervisión de la seguridad de la inteligencia artificial. |
Estructura de control de seguridad en Microsoft Cloud Security Benchmark v2 (versión preliminar)
Cada control de seguridad de la prueba comparativa incluye las secciones siguientes:
- Identificador: identificador único para cada control de seguridad, que consta de una abreviatura de dominio y un número (por ejemplo, AI-1 para el control de seguridad de inteligencia artificial 1, DP-1 para el control de protección de datos 1, NS-2 para el control de seguridad de red 2). Este identificador se usa en toda la documentación para hacer referencia a controles de seguridad específicos.
- Azure Policy: vínculos a definiciones de directivas integradas de Azure que puede usar para medir y aplicar el control de seguridad. Tenga en cuenta que no todos los controles de seguridad incluyen un vínculo de Azure Policy, ya que algunos controles de seguridad proporcionan instrucciones para escenarios o configuraciones que la automatización de Azure Policy no puede aplicar.
- Principio de seguridad: descripción general del control de seguridad en el nivel independiente de la tecnología, explicando el "qué" y "por qué" del control de seguridad.
- Riesgo para mitigar: los riesgos y amenazas de seguridad específicos que el control de seguridad tiene como objetivo abordar.
- MITRE ATT&CK: Las tácticas, técnicas y procedimientos de MITRE ATT&CK relevantes para los riesgos de seguridad. Obtenga más información en https://attack.mitre.org/.
- Guía de implementación: instrucciones técnicas detalladas específicas de Azure organizadas en subsecciones numeradas (por ejemplo, NS-1.1, NS-1.2) que explican cómo implementar el control de seguridad mediante características y servicios de Azure.
- Ejemplo de implementación: escenario práctico del mundo real que muestra cómo implementar el control de seguridad, incluido el desafío, el enfoque de la solución y el resultado.
- Nivel de importancia crítica: indica la importancia relativa del control de seguridad para la posición de seguridad. Los valores posibles son "Must have" (esencial para la seguridad de línea base), "Should have" (importante para mejorar la seguridad) o "Nice to have" (beneficioso para escenarios de seguridad avanzados).
-
Asignación de controles: asignaciones a estándares y marcos de seguridad de la industria, entre los que se incluyen:
- NIST SP 800-53 Rev.5: NIST SP 800-53 r5 identificadores de control de seguridad
- PCI-DSS v4: identificadores de requisitos de PCI-DSS v4
- Cis Controls v8.1: CIS Controls v8.1 IDs
- NIST CSF v2.0: función y identificadores de categoría de NIST Cybersecurity Framework v2.0
- ISO 27001:2022: Identificadores de control de seguridad de ISO/IEC 27001:2022
- SOC 2: Criterios de servicios de confianza de SOC 2
Las asignaciones de control de seguridad entre MCSB y las pruebas comparativas del sector (como CIS, NIST, PCI, ISO y otros) solo indican que puede usar características específicas de Azure para abordar completamente o parcialmente un requisito de control de seguridad definido en estas pruebas comparativas del sector. Esta implementación no se traduce necesariamente en el cumplimiento total de los controles de seguridad correspondientes en estas pruebas comparativas del sector.
Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de Microsoft Cloud Security Benchmark v2 (versión preliminar). Si desea proporcionar una entrada directa, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.
Pasos siguientes
- Revise la introducción a la prueba comparativa de seguridad en la nube de Microsoft para conocer los conceptos generales de MCSB e instrucciones de implementación.
- Exploración de los dominios de seguridad a partir de la seguridad de red
- Más información sobre los aspectos básicos de seguridad de Azure