Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Security Benchmark (ASB) proporciona procedimientos recomendados y recomendaciones prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure. Esta prueba comparativa forma parte de un conjunto de instrucciones holísticas de seguridad que también incluye:
- Cloud Adoption Framework: guía sobre la seguridad, incluida la estrategia, los roles y las responsabilidades, los procedimientos recomendados de seguridad principales de Azure 10 y la implementación de referencia.
- Azure Well-Architected Framework: guía sobre cómo proteger las cargas de trabajo en Azure.
- Procedimientos recomendados de seguridad de Microsoft: recomendaciones con ejemplos en Azure.
- Arquitecturas de referencia de ciberseguridad de Microsoft (MCRA):diagramas visuales e instrucciones para componentes y relaciones de seguridad
Azure Security Benchmark se centra en áreas de control centradas en la nube. Estos controles son coherentes con los puntos de referencia de seguridad conocidos, como los descritos por el Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) y Payment Card Industry Data Security Standard (PCI-DSS).
Novedades de ASB v3
Estas son las novedades de Azure Security Benchmark v3:
- Las asignaciones a los marcos de referencia del sector PCI-DSS v3.2.1 y CIS Controls v8 se agregan además de las asignaciones existentes a CIS Controls v7.1 y NIST SP800-53 Rev4.
- Refinar las instrucciones de control para ser más granulares y accionables, por ejemplo, las instrucciones de seguridad ahora se dividen en dos partes independientes, principio de seguridad e instrucciones de Azure. El principio de seguridad es el "qué", explicando el control en el nivel independiente de la tecnología; Azure Guidance se centra en el "cómo", elaborando sobre las características técnicas pertinentes y formas de implementar los controles en Azure.
- La adición de nuevos controles, por ejemplo, DevOps Security como una nueva familia de controles que también incluye temas como el modelado de amenazas y la seguridad de la cadena de suministro de software. La administración de claves y certificados se introdujo para recomendar procedimientos recomendados de administración de claves y certificados en Azure.
Controles
Los siguientes controles se incluyen en Azure Security Benchmark v3:
| Dominios de control de ASB | Descripción |
|---|---|
| Seguridad de red (NS) | La seguridad de red cubre los controles para proteger y proteger las redes de Azure, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS. |
| Gestión de identidades (IM) | Identity Management cubre los controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory, incluido el uso de inicio de sesión único, autenticaciones seguras, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías de cuentas. |
| Acceso con privilegios (PA) | Acceso con privilegios cubre los controles para proteger el acceso con privilegios a su inquilino y recursos de Azure, incluida una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e inadvertidos. |
| Protección de datos (DP) | La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluida la detección, clasificación, protección y supervisión de los recursos de datos confidenciales mediante el control de acceso, el cifrado y la administración de claves y certificados en Azure. |
| Administración de activos (AM) | Asset Asset Management cubre los controles para garantizar la visibilidad y la gobernanza de la seguridad en los recursos de Azure, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de recursos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y correcto). |
| Registro y detección de amenazas (LT) | El registro y la detección de amenazas abarcan los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para los servicios de Azure, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en los servicios de Azure; también incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de hora y la retención de registros. |
| Respuesta a incidentes (IR) | Respuesta a incidentes cubre los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a los incidentes, incluido el uso de servicios de Azure como Microsoft Defender for Cloud y Sentinel para automatizar el proceso de respuesta a incidentes. |
| Administración de posturas y vulnerabilidades (PV) | La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure. |
| Seguridad de los puntos de conexión (ES) | Endpoint Security cubre los controles de detección y respuesta de puntos de conexión, incluido el uso de la detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para los puntos de conexión en entornos de Azure. |
| Copia de seguridad y recuperación (BR) | La copia de seguridad y recuperación abarca los controles para asegurarse de que las copias de seguridad de datos y configuración en los distintos niveles de servicio se realicen, validen y protejan. |
| Seguridad de DevOps (DS) | DevOps Security cubre los controles relacionados con la ingeniería y las operaciones de seguridad en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas estáticas de seguridad de aplicaciones, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad en todo el proceso de DevOps; también incluye temas comunes, como el modelado de amenazas y la seguridad de suministro de software. |
| Gobernanza y estrategia (GS) | Gobernanza y estrategia proporciona una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener el control de la seguridad, incluyendo el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y directivas y estándares de apoyo. |
Recomendaciones de Pruebas comparativas de seguridad de Azure
Cada recomendación incluye la siguiente información:
- IDENTIFICADOR de ASB: identificador de Azure Security Benchmark que corresponde a la recomendación.
- Identificadores de CIS Controls v8: los controles de CIS v8 que corresponden a la recomendación.
- Identificadores de CIS Controls v7.1: los controles CIS Controls v7.1 que corresponden a la recomendación (no disponible en la web debido al motivo del formato).
- PCI-DSS ID(s) v3.2.1: los controles PCI-DSS v3.2.1 que corresponden a la recomendación.
- ID(s) NIST SP 800-53 r4: Los controles NIST SP 800-53 r4 (Moderado y Alto) que corresponden a esta recomendación.
- Principio de seguridad: la recomendación se centra en el "qué", explicando el control en el nivel independiente de la tecnología.
- Guía de Azure: la recomendación se centra en el "cómo", explicando los conceptos básicos de implementación y características técnicas de Azure.
- Contexto de implementación y adición: los detalles de implementación y otros contextos pertinentes que vinculan a los artículos de documentación de ofertas de servicios de Azure.
- Partes interesadas de la seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, encargados o consultados sobre el control correspondiente. Puede ser diferente de la organización a la organización en función de la estructura de la organización de seguridad de su empresa y de los roles y responsabilidades que configure relacionados con la seguridad de Azure.
Nota:
Las asignaciones de control entre ASB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que se pueden usar características específicas de Azure para abordar completamente o parcialmente un requisito de control definido en estas pruebas comparativas del sector. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento total de los controles correspondientes en estas pruebas comparativas del sector.
Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de Azure Security Benchmark. Si desea proporcionar información directamente al equipo de Azure Security Benchmark, rellene el formulario en https://aka.ms/AzSecBenchmark.
Descargar
Puede descargar Azure Security Benchmark en formato de hoja de cálculo.
Pasos siguientes
- Consulte el primer control de seguridad: Seguridad de red
- Lea la introducción a Azure Security Benchmark.
- Información sobre los aspectos básicos de seguridad de Azure