Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
Las recomendaciones de administración de identidades y acceso se centran en solucionar problemas relacionados con el control de acceso basado en identidades, bloquear el acceso administrativo, alertar sobre eventos relacionados con la identidad, comportamiento anómalo de la cuenta y control de acceso basado en rol.
3.1: Mantenga un inventario de cuentas administrativas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.1 | 4,1 | Cliente |
Azure AD tiene roles integrados que se deben asignar explícitamente y que son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.
Obtención de un rol de directorio en Azure AD con PowerShell
Cómo obtener miembros de un rol de directorio en Azure AD con PowerShell
3.2: Cambie las contraseñas predeterminadas cuando proceda
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.2 | 4,2 | Cliente |
Azure AD no tiene el concepto de contraseñas predeterminadas. Otros recursos de Azure que requieren una contraseña obligan a crear una contraseña con requisitos de complejidad y una longitud mínima de contraseña, que difiere en función del servicio. Usted es responsable de aplicaciones de terceros y servicios de Marketplace que pueden usar contraseñas predeterminadas.
3.3: Use cuentas administrativas dedicadas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.3 | 4.3 | Cliente |
Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use las recomendaciones del control de seguridad "Administrar el acceso y los permisos" de Azure Security Center para supervisar el número de cuentas administrativas.
También puede habilitar un Just-In-Time / Just-Enough-Access utilizando los roles con privilegios de Privileged Identity Management de Azure AD para los servicios de Microsoft y Azure Resource Manager.
3.4: Uso del inicio de sesión único (SSO) con Azure Active Directory
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.4 | 4.4. | Cliente |
Siempre que sea posible, use el inicio de sesión único de Azure Active Directory en lugar de configurar credenciales independientes individuales por servicio. Use las recomendaciones del control de seguridad "Administrar el acceso y los permisos" de Azure Security Center.
3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Cliente |
Habilite Azure AD MFA y siga las recomendaciones de Administración de identidades y acceso de Azure Security Center.
3.6: Uso de máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Cliente |
Utilice PAWs (estaciones de trabajo de acceso con privilegios) con autenticación multifactor configurada para acceder a y configurar recursos de Azure.
3.7: Registro y alerta de actividades sospechosas de cuentas administrativas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.7 | 4.8, 4.9 | Cliente |
Use informes de seguridad de Azure Active Directory para generar registros y alertas cuando se produzca una actividad sospechosa o no segura en el entorno. Use Azure Security Center para supervisar la actividad de identidad y acceso.
Identificación de usuarios de Azure AD marcados para actividades de riesgo
Supervisión de la actividad de identidad y acceso de los usuarios en Azure Security Center
3.8: Administración de recursos de Azure solo desde ubicaciones aprobadas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.8 | 11,7 | Cliente |
Use ubicaciones con nombre de acceso condicional para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.
3.9: Uso de Azure Active Directory
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Cliente |
Use Azure Active Directory como sistema central de autenticación y autorización. Azure AD protege los datos mediante el cifrado seguro para los datos en reposo y en tránsito. Azure AD también almacena las credenciales de usuario, los hashes y de forma segura.
3.10: Revisión y conciliación periódicas del acceso de los usuarios
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.10 | 16.9, 16.10 | Cliente |
Azure AD proporciona registros para ayudar a detectar cuentas obsoletas. Además, use Revisiones de acceso de identidad de Azure para administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar periódicamente para asegurarse de que solo los usuarios adecuados tienen acceso continuado.
3.11: Supervisión de intentos de acceso a credenciales desactivadas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3,11 | 16.12 | Cliente |
Tiene acceso a los orígenes de registro de eventos de inicio de sesión, auditoría y riesgo de Azure AD, que le permiten integrarse con cualquier herramienta SIEM/Monitoring.
Para simplificar este proceso, cree la configuración de diagnóstico para las cuentas de usuario de Azure Active Directory y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede configurar las alertas deseadas en el área de trabajo de Log Analytics.
3.12: Alerta sobre la desviación del comportamiento del inicio de sesión de la cuenta
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3,12 | 16.13 | Cliente |
Use las características de Azure AD Risk and Identity Protection para configurar respuestas automatizadas a acciones sospechosas detectadas relacionadas con identidades de usuario. También puede ingerir datos en Azure Sentinel para una investigación más detallada.
3.13: Proporcionar a Microsoft acceso a los datos de clientes pertinentes durante escenarios de soporte técnico
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 3.13 | 16 | Cliente |
En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, Caja de seguridad del cliente proporciona una interfaz para revisar y aprobar o rechazar solicitudes de acceso a datos de clientes.
Pasos siguientes
- Consulte el siguiente control de seguridad: Protección de datos