Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Security Benchmark (ASB) proporciona procedimientos recomendados y recomendaciones prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure.
Esta prueba comparativa forma parte de un conjunto de instrucciones holísticas de seguridad que también incluye:
- Cloud Adoption Framework : guía sobre la seguridad, incluida la estrategia, los roles y las responsabilidades, los procedimientos recomendados de seguridad principales de Azure 10 y la implementación de referencia.
- Azure Well-Architected Framework : guía para proteger las cargas de trabajo en Azure.
- Procedimientos recomendados de seguridad de Microsoft : recomendaciones con ejemplos en Azure.
Azure Security Benchmark se centra en áreas de control centradas en la nube. Estos controles son coherentes con los puntos de referencia de seguridad conocidos, como los descritos por el Center for Internet Security (CIS) Controls Version 7.1 y National Institute of Standards and Technology (NIST) SP 800-53. Los siguientes controles se incluyen en Azure Security Benchmark:
| Dominios de control de ASB | Descripción |
|---|---|
| Seguridad de red (NS) | La seguridad de red cubre los controles para proteger y asegurar las redes de Azure, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos, y la protección de DNS. |
| Gestión de identidades (IM) | Identity Management cubre los controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory, incluido el uso de inicio de sesión único, autenticaciones seguras, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías de cuentas. |
| Acceso con privilegios (PA) | Acceso con privilegios cubre los controles para proteger el acceso con privilegios a su inquilino y recursos de Azure, incluida una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e inadvertidos. |
| Protección de datos (DP) | La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado y el registro en Azure. |
| Administración de activos (AM) | Asset Management cubre los controles para garantizar la visibilidad y la gobernanza de la seguridad en los recursos de Azure, incluidas las recomendaciones sobre los permisos para el personal de seguridad, el acceso de seguridad al inventario de recursos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección). |
| Registro y detección de amenazas (LT) | El registro y la detección de amenazas abarcan los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para los servicios de Azure, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en los servicios de Azure; también incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de hora y la retención de registros. |
| Respuesta a incidentes (IR) | Respuesta a incidentes cubre los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a los incidentes, incluido el uso de servicios de Azure como Azure Security Center y Sentinel para automatizar el proceso de respuesta a incidentes. |
| Administración de posturas y vulnerabilidades (PV) | La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure. |
| Seguridad de los puntos de conexión (ES) | Endpoint Security cubre los controles de detección y respuesta de puntos de conexión, incluido el uso de la detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para los puntos de conexión en entornos de Azure. |
| Copia de seguridad y recuperación (BR) | La copia de seguridad y recuperación abarca los controles para asegurarse de que las copias de seguridad de datos y configuración en los distintos niveles de servicio se realicen, validen y protejan. |
| Gobernanza y estrategia (GS) | Gobernanza y estrategia proporciona una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener el control de la seguridad, incluyendo el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y directivas y estándares de apoyo. |
Recomendaciones de Pruebas comparativas de seguridad de Azure
Cada recomendación incluye la siguiente información:
- Identificador de Azure: identificador de Azure Security Benchmark que corresponde a la recomendación.
- Identificadores de CIS Controls v7.1: los controles CIS Controls v7.1 que corresponden a esta recomendación.
- NIST SP 800-53 r4 ID(s): los controles NIST SP 800-53 r4 (moderados) que corresponden a esta recomendación.
- Detalles: la justificación de la recomendación y vínculos a instrucciones sobre cómo implementarla. Si Azure Security Center admite la recomendación, también se mostrará esa información.
- Responsabilidad: indica si el cliente, el proveedor de servicios o ambos son responsables de implementar esta recomendación. Las responsabilidades de seguridad se comparten en la nube pública. Algunos controles de seguridad solo están disponibles para el proveedor de servicios en la nube y, por tanto, el proveedor es responsable de abordarlos. Estas son observaciones generales: para algunos servicios individuales, la responsabilidad será diferente de la que se muestra en Azure Security Benchmark. Estas diferencias se describen en las recomendaciones de línea base para el servicio individual.
- Partes interesadas en la seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, encargadas o consultadas para el control correspondiente. Puede ser diferente de la organización a la organización en función de la estructura de la organización de seguridad de su empresa y de los roles y responsabilidades que configure relacionados con la seguridad de Azure.
Nota:
Las asignaciones de control entre ASB y las pruebas comparativas del sector (como NIST y CIS) solo indican que se puede usar una característica específica de Azure para abordar completamente o parcialmente un requisito de control definido en NIST o CIS. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento total del control correspondiente en CIS o NIST.
Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de Azure Security Benchmark. Si desea proporcionar información directamente al equipo de Azure Security Benchmark, rellene el formulario en https://aka.ms/AzSecBenchmark.
Descargar
Puede descargar Azure Security Benchmark en formato de hoja de cálculo.
Pasos siguientes
- Consulte el primer control de seguridad: Seguridad de red
- Lea la introducción a Azure Security Benchmark.
- Información sobre los aspectos básicos de seguridad de Azure