Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El punto de referencia de seguridad de Azure más up-toestá disponible aquí.
Establezca, implemente y administre activamente (realizar un seguimiento, informar sobre, corregir) la configuración de seguridad de los recursos de Azure para evitar que los atacantes aprovechen los servicios y la configuración vulnerables.
7.1: Establezca configuraciones seguras para todos los recursos de Azure
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.1 | 5,1 | Cliente |
Use alias de Azure Policy para crear directivas personalizadas para auditar o aplicar la configuración de los recursos de Azure. También puede usar definiciones integradas de Azure Policy.
Además, Azure Resource Manager tiene la capacidad de exportar la plantilla en notación de objetos JavaScript (JSON), que se debe revisar para asegurarse de que las configuraciones cumplen o superan los requisitos de seguridad de su organización.
También puede usar recomendaciones de Azure Security Center como línea base de configuración segura para los recursos de Azure.
Tutorial: Creación y administración de directivas para aplicar el cumplimiento
Exportación de uno y varios recursos a una plantilla en Azure Portal
7.2: Establezca configuraciones del sistema operativo seguras
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.2 | 5,1 | Cliente |
Use recomendaciones de Azure Security Center para mantener las configuraciones de seguridad en todos los recursos de proceso. Además, puede usar imágenes de sistema operativo personalizadas o Azure Automation State Configuration para establecer la configuración de seguridad del sistema operativo requerido por su organización.
Descripción general de la configuración de estado de Azure Automation
Cargar un VHD y usarlo para crear nuevas máquinas virtuales Windows en Azure
Creación de una máquina virtual Linux a partir de un disco personalizado con la CLI de Azure
7.3: Mantenga configuraciones de recursos de Azure seguras
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.3 | 5.2 | Cliente |
Utiliza Azure Policy [deny] y [implementar si no existe] para aplicar configuraciones seguras en los recursos de Azure. Además, puede usar plantillas de Azure Resource Manager para mantener la configuración de seguridad de los recursos de Azure necesarios para su organización.
7.4: Mantenga configuraciones del sistema operativo seguras
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.4 | 5.2 | Compartido |
Siga las recomendaciones de Azure Security Center sobre cómo realizar evaluaciones de vulnerabilidades en los recursos de proceso de Azure. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizadas o Configuración de estado de Azure Automation para mantener la configuración de seguridad del sistema operativo requerido por su organización. Las plantillas de máquina virtual de Microsoft combinadas con Desired State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad.
Además, tenga en cuenta que Microsoft administra y mantiene las imágenes de máquina virtual de Azure Marketplace publicadas por Microsoft.
Implementación de recomendaciones de evaluación de vulnerabilidades de Azure Security Center
Creación de una máquina virtual de Azure a partir de una plantilla de Azure Resource Manager
Descripción general de la configuración de estado de Azure Automation
Información sobre cómo descargar la plantilla de máquina virtual
Script de ejemplo para cargar un VHD en Azure y crear una nueva máquina virtual
7.5: Almacene de forma segura la configuración de los recursos de Azure
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7,5 | 5.3 | Cliente |
Use Azure DevOps para almacenar y administrar de forma segura el código, como directivas personalizadas de Azure, plantillas de Azure Resource Manager y scripts de Desired State Configuration. Para acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si está integrado con Azure DevOps o Active Directory si está integrado con TFS.
7.6: Almacenar de forma segura imágenes de sistema operativo personalizadas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.6 | 5.3 | Cliente |
Si usa imágenes personalizadas, use el control de acceso basado en rol de Azure (RBAC de Azure) para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes. Con una Galería de Imágenes Compartida, puede compartir tus imágenes con distintos usuarios, entidades de servicio o grupos de Active Directory dentro de su organización. En el caso de las imágenes de contenedor, almacénelas en Azure Container Registry y aproveche Azure RBAC para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes.
7.7: Implementación de herramientas de administración de configuración para recursos de Azure
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7,7 | 5.4 | Cliente |
Defina e implemente configuraciones de seguridad estándar para los recursos de Azure mediante Azure Policy. Use alias de Azure Policy para crear directivas personalizadas para auditar o aplicar la configuración de red de los recursos de Azure. También puede usar definiciones de directivas integradas relacionadas con los recursos específicos. Además, puede usar Azure Automation para implementar cambios de configuración.
7.8: Implementación de herramientas de administración de configuración para sistemas operativos
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7,8 | 5.4 | Cliente |
State Configuration de Azure Automation es un servicio de administración de configuración para nodos de Desired State Configuration (DSC) en cualquier centro de datos local o en la nube. Puede incorporar fácilmente máquinas, asignarlas configuraciones declarativas y ver informes que muestran el cumplimiento de cada máquina con el estado deseado especificado.
7.9: Implementación de la supervisión automatizada de la configuración para los recursos de Azure
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.9 | 5.5 | Cliente |
Use Azure Security Center para realizar exámenes de línea base de los recursos de Azure. Además, use Azure Policy para alertar y auditar las configuraciones de recursos de Azure.
7.10: Implementación de la supervisión automatizada de la configuración para sistemas operativos
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.10 | 5.5 | Cliente |
Utiliza Azure Security Center para realizar escáneres de referencia de la configuración del sistema operativo y de Docker para contenedores.
7.11: Administración de secretos de Azure de forma segura
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.11 | 13.1 | Cliente |
Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos para las aplicaciones en la nube.
7.12: Administrar identidades de forma segura y automática
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.12 | 4,1 | Cliente |
Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure AD. Las identidades administradas le permiten autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Key Vault, sin credenciales en el código.
7.13: Eliminación de la exposición de credenciales no deseada
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
Implemente Credential Scanner para identificar las credenciales dentro del código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Pasos siguientes
- Consulte el siguiente control de seguridad: Defensa contra malware