Compartir a través de


Introducción a la prueba comparativa de seguridad en la nube de Microsoft (v1)

El banco de pruebas de seguridad en la nube de Microsoft (MCSB) proporciona recomendaciones y procedimientos recomendados prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure y su entorno de varias nubes. Este punto de referencia aborda las áreas de control centradas en la nube con ayuda de un conjunto completo de instrucciones de seguridad de Microsoft y del sector, entre las que se incluyen las siguientes:

Novedades de Microsoft Cloud Security Benchmark v1

Nota:

Microsoft Cloud Security Benchmark es el sucesor de Azure Security Benchmark (ASB), que se cambió de nombre en octubre de 2022.

La compatibilidad con Google Cloud Platform en MCSB ahora está disponible como una característica en versión preliminar tanto en la guía de pruebas comparativas de MCSB como en Microsoft Defender for Cloud.

Estas son las novedades de Microsoft Cloud Security Benchmark v1:

  1. Marco de seguridad multinube completo: las organizaciones suelen tener que crear un estándar de seguridad interno para conciliar los controles de seguridad en varias plataformas en la nube para cumplir los requisitos de seguridad y cumplimiento en cada uno de ellos. Esto suele requerir que los equipos de seguridad repitan las mismas tareas de implementación, supervisión y evaluación en cada entornos de nube distinto (a menudo, con diferentes estándares de cumplimiento). Esto supone una sobrecarga, un coste y un esfuerzo innecesarios. Para solucionar este problema, hemos mejorado el ASB a MCSB para ayudarle a trabajar rápidamente con diferentes nubes mediante:

    • Proporcionando un único marco de control para satisfacer fácilmente los controles de seguridad de todas las nubes
    • Proporcionar una experiencia de usuario coherente para la supervisión y aplicación de la prueba comparativa de seguridad de varias nubes en Defender for Cloud
    • Respetando los estándares del sector (por ejemplo, CIS, NIST, PCI)

    Mapeo entre ASB y CIS Benchmark

  2. Supervisión automatizada del control para AWS en Microsoft Defender for Cloud: puede usar el panel de cumplimiento normativo de Microsoft Defender for Cloud para supervisar su entorno de AWS en MCSB, al igual que el modo en que supervisa su entorno de Azure. Hemos desarrollado alrededor de 180 comprobaciones de AWS para la nueva guía de seguridad de AWS en MCSB, lo que le permite supervisar su entorno y sus recursos de AWS en Microsoft Defender for Cloud.

    Captura de pantalla de la integración de MSCB en Microsoft Defender for Cloud

  3. Una actualización de las instrucciones y principios de seguridad existentes de Azure: también hemos actualizado algunas de las instrucciones de seguridad y los principios de seguridad de Azure existentes durante esta actualización para que pueda mantenerse al día con las características y funcionalidades de Azure más recientes.

Controles

Dominios de control Descripción
Seguridad de red (NS) La seguridad de red cubre los controles para proteger y proteger las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS.
Identity Management (IM) Administración de identidades cubre controles que establecen una identidad segura y controles de acceso mediante sistemas de administración de identidad y acceso, incluido el uso del inicio de sesión único, la autenticación segura, las identidades administradas (y las entidades de servicio) para las aplicaciones, el acceso condicional y la supervisión de anomalías en las cuentas.
Acceso con privilegios (PA) Acceso con privilegios cubre controles que protegen el acceso con privilegios a su inquilino a los recursos. Incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
Protección de datos (DP) La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados.
Administración de activos (AM) Gestión de Activos cubre los controles para garantizar la visibilidad y gobernanza de la seguridad sobre sus recursos, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección).
Registro y detección de amenazas (LT) El registro y la detección de amenazas abarcan los controles para detectar amenazas en la nube y habilitar, recopilar y almacenar registros de auditoría para servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en servicios en la nube; también incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización del análisis de seguridad con un SIEM, la sincronización de tiempo y la retención de registros.
Respuesta a incidentes (IR) Respuesta a incidentes abarca los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure (como Microsoft Defender para la nube y Sentinel) y/o otros servicios en la nube para automatizar el proceso de respuesta a incidentes.
Administración de posturas y vulnerabilidades (PV) La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad en la nube, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos en la nube.
Seguridad de los puntos de conexión (ES) La seguridad de los puntos de conexión abarca los controles de detección y respuesta de puntos de conexión, como el uso de detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para puntos de conexión en entornos en la nube.
Copia de seguridad y recuperación (BR) La copia de seguridad y recuperación abarca los controles para asegurarse de que las copias de seguridad de datos y configuración en los distintos niveles de servicio se realicen, validen y protejan.
DevOps Security (DS) DevOps Security cubre los controles relacionados con la ingeniería y las operaciones de seguridad en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas estáticas de seguridad de aplicaciones, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad en todo el proceso de DevOps; también incluye temas comunes, como el modelado de amenazas y la seguridad de suministro de software.
Gobernanza y estrategia (GS) Gobernanza y estrategia proporciona una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener el control de la seguridad, incluyendo el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y directivas y estándares de apoyo.

Recomendaciones en la prueba comparativa de seguridad en la nube de Microsoft

Cada recomendación incluye la siguiente información:

  • ID: El ID de referencia que corresponde a la recomendación.
  • Identificadores de CIS Controls v8: los controles de CIS v8 que corresponden a la recomendación.
  • Identificadores de CIS Controls v7.1: los controles CIS Controls v7.1 que corresponden a la recomendación (no disponible en la web debido al motivo del formato).
  • PCI-DSS ID(s) v3.2.1: los controles PCI-DSS v3.2.1 que corresponden a la recomendación.
  • NIST SP 800-53 r4 ID(s): Los controles NIST SP 800-53 r4 (Moderado y Alto) corresponden a esta recomendación.
  • Principio de seguridad: la recomendación se centra en el "qué", explicando el control en el nivel independiente de la tecnología.
  • Guía de Azure: la recomendación se centra en el "cómo", explicando los conceptos básicos de implementación y características técnicas de Azure.
  • Guía de AWS: la recomendación se centra en el "cómo", explicando los conceptos básicos de implementación y características técnicas de AWS.
  • Implementación y contexto adicional: los detalles de implementación y otros contextos pertinentes que vinculan a los artículos de documentación de ofertas de servicios de Azure y AWS.
  • Partes interesadas de la seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, encargados o consultados sobre el control correspondiente. Puede ser diferente de la organización a la organización en función de la estructura de la organización de seguridad de su empresa y de los roles y responsabilidades que configure relacionados con la seguridad de Azure.

Las asignaciones de control entre MCSB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que se pueden usar características específicas de Azure para abordar completamente o parcialmente un requisito de control definido en estas pruebas comparativas del sector. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento total de los controles correspondientes en estas pruebas comparativas del sector.

Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de pruebas comparativas de seguridad en la nube de Microsoft. Si desea proporcionar una entrada directa, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.

Descargar

Puede descargar el documento de referencia y la línea base offline en formato de hoja de cálculo.

Pasos siguientes