Compartir a través de


Control de seguridad: Seguridad de red

Nota:

El punto de referencia de seguridad de Azure más up-toestá disponible aquí.

Las recomendaciones de seguridad de red se centran en especificar qué protocolos de red, puertos TCP/UDP y servicios conectados a la red se permiten o deniegan el acceso a los servicios de Azure.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Identificador de Azure Identificadores CIS Responsabilidad
1.1 9.2, 9.4, 14.1, 14.2, 14.3 Cliente

Asegúrese de que todas las implementaciones de subredes de la red virtual tengan aplicado un grupo de seguridad de red con controles de acceso de red específicos de los orígenes y puertos de confianza de su aplicación. Cuando sea posible, utilice puntos de conexión privados con Private Link para asegurar los recursos de servicio de Azure en su red virtual extendiendo la identidad de la red virtual al servicio. Cuando los puntos de conexión privados y Private Link no estén disponibles, use puntos de conexión de servicio. Para conocer los requisitos específicos del servicio, consulte la recomendación de seguridad para ese servicio específico.

Como alternativa, si tiene un caso de uso específico, es posible que se cumplan los requisitos mediante la implementación de Azure Firewall.

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes y NIC

Identificador de Azure Identificadores CIS Responsabilidad
1.2 9.3, 12.2, 12.8 Cliente

Use Azure Security Center y siga las recomendaciones de protección de red para ayudar a proteger los recursos de red en Azure. Active los registros de flujo NSG y envíe los registros a una cuenta de almacenamiento para la auditoría de tráfico. También puede enviar registros de flujo de NSG a un área de trabajo de Log Analytics y usar Análisis de tráfico para proporcionar información sobre el flujo de tráfico en la nube de Azure. Algunas ventajas de Análisis de tráfico son la capacidad de visualizar la actividad de red e identificar puntos activos, identificar amenazas de seguridad, comprender los patrones de flujo de tráfico e identificar errores de configuración de red.

1.3: Proteja las aplicaciones web críticas

Identificador de Azure Identificadores CIS Responsabilidad
1.3 9.5 Cliente

Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web críticas para una inspección adicional del tráfico entrante. Habilite la configuración de diagnóstico para WAF e ingiere registros en una cuenta de almacenamiento, un centro de eventos o un área de trabajo de Log Analytics.

1.4: Deniegue las comunicaciones con direcciones IP malintencionadas conocidas

Identificador de Azure Identificadores CIS Responsabilidad
1.4 12.3 Cliente

Habilite la protección contra DDoS Standard en las redes virtuales de Azure para protegerse frente a ataques DDoS. Use Inteligencia sobre amenazas integrada de Azure Security Center para denegar las comunicaciones con direcciones IP malintencionadas conocidas.

Implemente Azure Firewall en cada uno de los límites de red de la organización con Inteligencia de amenazas habilitada y configurada para "Alertar y denegar" el tráfico de red malintencionado.

Utilice el acceso a la red Just-In-Time del Centro de Seguridad de Azure para configurar los grupos de seguridad de red, limitando la exposición de los puntos de conexión a direcciones IP aprobadas por un período limitado.

Use la protección de red adaptable de Azure Security Center para recomendar configuraciones de NSG que limiten los puertos y las direcciones IP de origen en función del tráfico real y la inteligencia sobre amenazas.

1.5: Registro de los paquetes de red

Identificador de Azure Identificadores CIS Responsabilidad
1.5 12.5 Cliente

Habilite la captura de paquetes de Network Watcher para investigar actividades anómalas.

1.6: Implementación de sistemas de detección o prevención de intrusiones basados en red (IDS/IPS)

Identificador de Azure Identificadores CIS Responsabilidad
1.6 12.6, 12.7 Cliente

Seleccione una oferta de Azure Marketplace que admita la funcionalidad IDS/IPS con funcionalidades de inspección de carga. Si la detección o prevención de intrusiones en función de la inspección de carga no es un requisito, se puede usar Azure Firewall con inteligencia sobre amenazas. El filtrado basado en inteligencia sobre amenazas de Azure Firewall puede alertar y denegar el tráfico hacia y desde dominios y direcciones IP malintencionadas conocidas. Las direcciones IP y los dominios proceden de la alimentación de Inteligencia de amenazas de Microsoft.

Implemente la solución de firewall que prefiera en cada uno de los límites de red de su organización para detectar o denegar el tráfico malintencionado.

1.7: Administrar el tráfico a las aplicaciones web

Identificador de Azure Identificadores CIS Responsabilidad
1.7 12.9, 12.10 Cliente

Implemente Azure Application Gateway para aplicaciones web con HTTPS/TLS habilitado para certificados de confianza.

1.8: Minimizar la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Identificador de Azure Identificadores CIS Responsabilidad
1.8 1.5 Cliente

Use etiquetas de servicio de red virtual para definir controles de acceso de red en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino adecuado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

También puede usar grupos de seguridad de aplicaciones para ayudar a simplificar la configuración de seguridad compleja. Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.

1.9: Mantenimiento de configuraciones de seguridad estándar para dispositivos de red

Identificador de Azure Identificadores CIS Responsabilidad
1.9 11.1 Cliente

Defina e implemente configuraciones de seguridad estándar para los recursos de red con Azure Policy.

También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos clave del entorno, como plantillas de Azure Resources Manager, controles RBAC de Azure y directivas, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas suscripciones y ajustar el control y la administración a través del control de versiones.

1.10: Documentar reglas de configuración del tráfico

Identificador de Azure Identificadores CIS Responsabilidad
1.10 11.2 Cliente

Utilice etiquetas para NSGs y otros recursos relacionados con la seguridad de red y el flujo de tráfico. Para las reglas de NSG individuales, use el campo "Descripción" para especificar la necesidad empresarial o la duración (etc.) para las reglas que permitan el tráfico hacia o desde una red.

Use cualquiera de las definiciones integradas de Azure Policy relacionadas con el etiquetado, como "Requerir etiqueta y su valor" para asegurarse de que todos los recursos se crean con etiquetas y para notificarle los recursos no etiquetados existentes.

Puede usar Azure PowerShell o la CLI de Azure para buscar o realizar acciones en recursos en función de sus etiquetas.

1.11: Uso de herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Identificador de Azure Identificadores CIS Responsabilidad
1.11 11.3 Cliente

Use el registro de actividad de Azure para supervisar las configuraciones de recursos y detectar cambios en los recursos de Azure. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos críticos.

Pasos siguientes