Control de seguridad V2: administración de posturas y vulnerabilidades
Nota
La versión más actualizada de Azure Security Benchmark está disponible aquí.
La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la postura de seguridad de Azure. Esto incluye exámenes de vulnerabilidades y corrección y pruebas de penetración, así como el seguimiento de la configuración de seguridad, la presentación de informes y la corrección de recursos de Azure.
Para ver la instancia de Azure Policy integrada aplicable, vea Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: administración de posturas y vulnerabilidades.
PV-1: establecimiento de configuraciones seguras para servicios de Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Defina los límites de protección de seguridad para los equipos de infraestructura y DevOps al facilitar la configuración segura de los servicios de Azure que usan.
Inicie la configuración de seguridad de los servicios de Azure con bases de referencia de servicio de Azure Security Benchmark y personalícelas según sea necesario para su organización.
Use Azure Security Center para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de los recursos de Azure.
Puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicaciones, incluidas las plantillas de Resource Manager, los controles de RBAC de Azure y las directivas, en una única definición de plano técnico.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-2: sostenimiento de configuraciones seguras para servicios de Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Use Azure Security Center para supervisar la base de referencia de configuración y use las reglas [denegar] e [implementar si no existe] de Azure Policy para aplicar una configuración segura en todos los recursos de proceso de Azure, incluidas las VM, los contenedores y otros.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-3: establecimiento de configuraciones seguras para los recursos de proceso
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Use Azure Security Center y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las VM, los contenedores y otros. Además, puede usar imágenes de sistema operativo personalizadas o State Configuration de Azure Automation para establecer la configuración de seguridad del sistema operativo que necesita su organización.
Cómo supervisar las recomendaciones de Azure Security Center
Carga de un VHD y su uso para crear máquinas virtuales Windows nuevas en Azure
Creación de una VM Linux desde un disco personalizado con la CLI de Azure
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-4: sostenimiento de configuraciones seguras para los recursos de proceso
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Use Azure Security Center y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizado o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo que requiere su organización. Las plantillas de máquina virtual de Microsoft combinadas con State Configuration de Azure Automation pueden ayudarle a cumplir y mantener los requisitos de seguridad.
Además, tenga en cuenta que las imágenes de VM de Azure Marketplace que publica Microsoft, las administra y mantiene Microsoft mismo.
Azure Security Center también puede examinar vulnerabilidades en las imágenes de contenedor y realizar una supervisión continua de la configuración de Docker en contenedores, en función de la prueba comparativa de Docker de CIS. Puede usar la página de recomendaciones de Azure Security Center para ver las recomendaciones y corregir los problemas.
Implementación de las recomendaciones de evaluación de vulnerabilidades de Azure Security Center
Creación de una máquina virtual de Azure a partir de una plantilla de Resource Manager
Script de ejemplo para cargar un disco duro virtual en Azure y crear una máquina virtual nueva
Responsabilidad: Compartido
Partes interesadas de seguridad del cliente (Más información):
PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Use el control de acceso basado en rol de Azure (Azure RBAC) para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas. Use una instancia de Azure Shared Image Gallery para compartir imágenes con diferentes usuarios, entidades de servicio o grupos de AD dentro de su organización. Almacene imágenes de contenedor en Azure Container Registry y use Azure RBAC para garantizar que solo los usuarios autorizados puedan tener acceso.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-6: Realización de evaluaciones de vulnerabilidad de software
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Siga las recomendaciones de Azure Security Center sobre cómo realizar evaluaciones de vulnerabilidades en sus máquinas virtuales de Azure, imágenes de contenedor y servidores SQL. Azure Security Center tiene un escáner de vulnerabilidades integrado para realizar el examen de las máquinas virtuales.
Use una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.
Exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades. Al usar las recomendaciones de administración de vulnerabilidades que sugiere Azure Security Center, puede dinamizar en el portal de la solución de examen seleccionada para ver los datos de análisis históricos.
Implementación de las recomendaciones de evaluación de vulnerabilidades de Azure Security Center
Escáner de vulnerabilidades integrado para máquinas virtuales
Exportación de los resultados de los exámenes de vulnerabilidades de Azure Security Center
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-7: corrección rápida y automática de vulnerabilidades de software
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Implemente rápidamente las actualizaciones de software para corregir las vulnerabilidades de software en los sistemas operativos y aplicaciones.
Use un programa común de puntuación de riesgos (por ejemplo, un sistema común de puntuación de vulnerabilidades) o las clasificaciones de riesgos predeterminadas que proporciona la herramienta de análisis de terceros y adáptelas a su entorno, teniendo en cuenta qué aplicaciones presentan un riesgo se seguridad elevado y cuáles requieren un tiempo de actividad alto.
Use Update Management de Azure Automation o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes se instalan en sus máquinas virtuales con Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.
Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.
Configuración de Update Management para máquinas virtuales en Azure
Administración de actualizaciones y revisiones para las máquinas virtuales de Azure
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
PV-8: realización de una simulaciones de ataques periódicas
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos. siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Compartido
Partes interesadas de seguridad del cliente (Más información):