Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
La seguridad de red abarca los controles para proteger y asegurar las redes de Azure. Esto incluye la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos y la protección de DNS.
Para ver la directiva de Azure integrada aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Seguridad de red.
NS-1: Implementación de la seguridad para el tráfico interno
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se alinea con los riesgos empresariales. Cualquier sistema que pueda suponer un mayor riesgo para la organización debe aislarse dentro de su propia red virtual y estar lo suficientemente protegido con un grupo de seguridad de red (NSG) o Azure Firewall.
En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre recursos internos en función de las reglas del grupo de seguridad de red. Para aplicaciones específicas bien definidas (como una aplicación de 3 niveles), puede ser un enfoque de "denegar de forma predeterminada, permitir por excepción". Es posible que esto no se escale bien si tiene muchas aplicaciones y puntos de conexión que interactúan entre sí. También puede usar Azure Firewall en circunstancias en las que se requiera la administración central en un gran número de segmentos o ramas empresariales (en una topología de hub y spoke).
Use la protección de red adaptable de Azure Security Center para recomendar configuraciones de grupo de seguridad de red que limiten los puertos y las direcciones IP de origen en función de las reglas de tráfico de red externas.
Use Azure Sentinel para detectar el uso de protocolos no seguros heredados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Enlaces LDAP sin firmar y cifrados débiles en Kerberos.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-2: Conectar redes privadas entre sí
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | No disponible | CA-3, AC-17, MA-4 |
Utilice Azure ExpressRoute o la red privada virtual de Azure (VPN) para crear conexiones privadas en un entorno de colocalización entre los centros de datos de Azure y la infraestructura local. Las conexiones de ExpressRoute no pasan por la red pública de Internet y ofrecen más confiabilidad, velocidades más rápidas y latencias más bajas que las conexiones a Internet típicas. En el caso de vpn de punto a sitio y VPN de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.
Para conectar dos o más redes virtuales en Azure juntas, use el emparejamiento de red virtual o Private Link. El tráfico de red entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-3: Establecimiento del acceso de red privada a los servicios de Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Use Azure Private Link para habilitar el acceso privado a los servicios de Azure desde las redes virtuales, sin cruzar Internet. En situaciones en las que Azure Private Link aún no está disponible, use puntos de conexión de servicio de Azure Virtual Network. Los puntos de conexión de servicio de Azure Virtual Network proporcionan acceso seguro a los servicios a través de una ruta optimizada a través de la red troncal de Azure.
El acceso privado es una medida adicional de defensa en profundidad además de la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-4: Protección de aplicaciones y servicios frente a ataques de red externos
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9,5, 12,3, 12,9 | SC-5, SC-7 |
Proteja los recursos de Azure contra ataques de redes externas, incluidos los ataques por denegación de servicio distribuido (DDoS), los ataques específicos de la aplicación y el tráfico de Internet no solicitado y potencialmente malintencionado. Azure incluye funcionalidades nativas para esto:
Use Azure Firewall para proteger las aplicaciones y los servicios frente al tráfico potencialmente malintencionado de Internet y otras ubicaciones externas.
Use las funcionalidades de Firewall de aplicaciones web (WAF) en Azure Application Gateway, Azure Front Door y Azure Content Delivery Network (CDN) para proteger las aplicaciones, los servicios y las API frente a ataques de capa de aplicación.
Proteja los recursos contra ataques DDoS habilitando la protección estándar de DDoS en las redes virtuales de Azure.
Use Azure Security Center para detectar riesgos de configuración incorrecta relacionados con lo anterior.
Administrar la Protección DDoS Estándar de Azure mediante el portal de Azure
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-5: Implementación de sistemas de detección de intrusiones/prevención de intrusiones (IDS/IPS)
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Use el filtrado basado en inteligencia sobre amenazas de Azure Firewall para alertar o bloquear el tráfico hacia y desde dominios y direcciones IP malintencionadas conocidas. Las direcciones IP y los dominios proceden de la alimentación de Inteligencia de amenazas de Microsoft. Cuando se requiere una inspección de carga, puede usar la característica IDPS Premium de Azure Firewall o implementar un sistema de detección o prevención de intrusiones de terceros (IDS/IPS) desde Azure Marketplace con funcionalidades de inspección de carga. Como alternativa, puede usar IDS/IPS basado en host o una solución de detección y respuesta de puntos de conexión (EDR) basada en host junto con o en lugar de IDS/IPS basados en red.
Nota: Si tiene un requisito normativo u otro requisito para el uso de IDS/IPS, asegúrese de que siempre está optimizado para proporcionar alertas de alta calidad a la solución SIEM.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-6: Simplificación de las reglas de seguridad de red
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Simplifique las reglas de seguridad de red aprovechando las etiquetas de servicio y los grupos de seguridad de aplicaciones (ASG).
Use etiquetas de servicio de red virtual para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.
También puede usar grupos de seguridad de aplicaciones para ayudar a simplificar la configuración de seguridad compleja. En lugar de definir la directiva basada en direcciones IP explícitas en grupos de seguridad de red, los grupos de seguridad de aplicaciones permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y definir directivas de seguridad de red basadas en esos grupos.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
NS-7: Servicio de nombres de dominio seguro (DNS)
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | No disponible | SC-20, SC-21 |
Siga las mejores prácticas de seguridad de DNS para mitigar los ataques comunes, como DNS colgante, ataques de amplificación de DNS, envenenamiento de DNS y suplantación de DNS, etc.
Cuando Azure DNS se usa como servicio DNS autoritativo, asegúrese de que las zonas DNS y los registros están protegidos frente a modificaciones accidentales o malintencionadas mediante RBAC de Azure y bloqueos de recursos.
Guía de implementación del sistema de nombres de dominio seguro (DNS)
Evitar las entradas DNS pendientes y la adquisición de subdominios
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):