Introducción a los controles de seguridad de Azure (v3)

La prueba comparativa de seguridad de Azure (ASB) proporciona recomendaciones y procedimientos recomendados para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios de Azure. Esta prueba comparativa forma parte de un conjunto de instrucciones de seguridad holísticas que también incluyen:

La prueba comparativa de seguridad de Azure se enfoca en las áreas de control centradas en la nube. Estos controles son coherentes con las pruebas comparativas de seguridad conocidas, como las descritas por los controles de Center for Internet Security (CIS),de National Institute of Standards and Technology (NIST) y Payment Card Industry Data Security Standard (PCI-DSS).

Novedades de ASB v3

Estas son las novedades de Azure Security Benchmark v3:

  • Las asignaciones a los marcos del sector PCI-DSS v3.2.1 y CIS Controls v8 se agregan además de las asignaciones existentes a CIS Controls v7.1 y NIST SP800-53 Rev4.
  • El perfeccionamiento de la guía de control para que sea más detallada y práctica, por ejemplo, la guía de seguridad ahora se divide en dos partes independientes: Principio de seguridad y Guía de Azure. El principio de seguridad es el "qué", que explica el control a un nivel donde la tecnología se deja de lado; la guía de Azure se centra en el "cómo", y detalla las características técnicas pertinentes y las formas de implementar los controles en Azure.
  • La adición de nuevos controles, por ejemplo, Seguridad de DevOps, como una nueva familia de controles que también incluye temas como el modelado de amenazas y la seguridad de la cadena de suministro de software. La administración de claves y certificados se introdujo para presentar los procedimientos recomendados de administración de claves y certificados en Azure.

Controles

Los siguientes controles se incluyen en Azure Security Benchmark v3:

Dominios de control de ASB Descripción
Seguridad de red (NS) La seguridad de red cubre los controles para proteger y asegurar las redes de Azure, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos, y la protección de DNS.
Administración de identidades (IM) La administración de identidades cubre controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory, incluido el uso del inicio de sesión único, las autenticaciones sólidas, las identidades administradas (y las entidades de servicio) para las aplicaciones, el acceso condicional y la supervisión de las anomalías de cuenta.
Acceso con privilegios (PA) El acceso con privilegios cubre los controles para proteger el acceso con privilegios a los recursos y al inquilino de Azure, e incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
Protección de datos (DP) La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluida la detección, clasificación, protección y supervisión de los recursos de datos confidenciales mediante el control de acceso, el cifrado y la administración de claves y certificados en Azure.
Administración de recursos (AM) La administración de recursos cubre controles para garantizar la visibilidad y el control de la seguridad de los recursos de Azure, incluidas recomendaciones sobre permisos para el personal de seguridad, acceso de seguridad al inventario de activos y administración de aprobaciones de servicios y recursos (inventario, seguimiento y corrección).
Registro y detección de amenazas (LT) El registro y la detección de amenazas cubre los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para servicios de Azure, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con la detección de amenazas nativa en los servicios de Azure. También incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de la hora y la retención de registros.
Respuesta a los incidentes (IR) La respuesta a los incidentes cubre los controles del ciclo de vida de respuesta a los incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure como Microsoft Defender for Cloud y Sentinel para automatizar el proceso de respuesta a incidentes.
Administración de posiciones y vulnerabilidades (PV) La administración de posiciones y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, incluido el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure.
Seguridad del punto de conexión (ES) La seguridad del punto de conexión cubre los controles de detección y respuesta de puntos de conexión, incluido el uso de la detección de puntos de conexión y la respuesta (EDR), así como el servicio antimalware para los puntos de conexión en entornos de Azure.
Copia de seguridad y recuperación (BR) La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen.
Seguridad de DevOps (DS) Seguridad de DevOps cubre los controles relacionados con la ingeniería de seguridad y las operaciones en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como las pruebas de seguridad de aplicaciones estáticas o la administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad a lo largo del proceso de DevOps; también incluye temas comunes como el modelado de amenazas y la seguridad de suministro de software.
Gobernanza y estrategia (GS) La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.

Recomendaciones de pruebas comparativas de seguridad de Azure

Cada recomendación incluye la siguiente información:

  • Identificador de ASB: el identificador de Azure Security Benchmark que corresponde a la recomendación.
  • Identificadores de CIS Controls v8: los controles CIS Controls v8 que corresponden a la recomendación.
  • Identificadores de CIS Controls v7.1: los controles CIS Controls v7.1 que corresponden a la recomendación (no están disponibles en la web por una razón de formato).
  • Identificadores de PCI-DSS v3.2.1: los controles de PCI-DSS v3.2.1 que corresponden a la recomendación.
  • Identificadores de NIST SP 800-53 r4: los controles NIST SP 800-53 r4 (moderados y altos) que corresponden a esta recomendación.
  • Principio de seguridad: la recomendación se centra en el "qué", explicando el control en el nivel independiente de la tecnología.
  • Guía de Azure: la recomendación se centra en el "cómo", explicando las características técnicas de Azure y los conceptos básicos de implementación.
  • Contexto de implementación y adición: los detalles de implementación y otro contexto pertinente que vincula a los artículos de documentación de la oferta de servicio de Azure.
  • Partes interesadas de seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, comprometidas o consultadas para el control correspondiente. Puede ser diferente entre las organizaciones en función de la estructura de la organización de seguridad de la empresa, así como de los roles y las responsabilidades que configure relacionados con la seguridad de Azure.

Nota:

Las asignaciones de control entre ASB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que una característica específica de Azure se puede usar para resolver de forma completa o parcial un requisito de control definido en tales pruebas. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento completo del control correspondiente en las pruebas comparativas del sector.

Le agradecemos sus comentarios detallados y su participación activa en el trabajo de pruebas comparativas de seguridad de Azure. Si quiere proporcionar la entrada directa del equipo de Azure Security Benchmark, rellene el formulario en https://aka.ms/AzSecBenchmark.

Descargar

También puede descargar la instancia de Azure Security Benchmark en formato de hoja de cálculo.

Pasos siguientes