Compartir a través de


Control de seguridad v3: Administración de posturas y vulnerabilidades

La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad de Azure, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos de Azure.

PV-1: Definición y establecimiento de configuraciones seguras

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Principio de seguridad: Defina las líneas base de configuración seguras para distintos tipos de recursos en la nube. Como alternativa, use herramientas de administración de configuración para establecer la línea base de configuración automáticamente antes o durante la implementación de recursos para que el entorno pueda ser compatible de forma predeterminada después de la implementación.

Guía de Azure: Utilice el Azure Security Benchmark y la línea base del servicio para definir la línea base de configuración de cada oferta o servicio correspondiente de Azure. Consulte la arquitectura de referencia de Azure y la arquitectura de la zona de aterrizaje de Cloud Adoption Framework para comprender los controles de seguridad críticos y las configuraciones que pueden necesitar entre los recursos de Azure.

Use Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación, incluidas plantillas de Azure Resource Manager, controles y directivas de RBAC de Azure, en una única definición de plano técnico.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-2: Auditoría y aplicación de configuraciones seguras

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Principio de seguridad: Supervise y alerte continuamente cuando haya una desviación de la línea base de configuración definida. Aplique la configuración deseada según la configuración de línea base al denegar la configuración no compatible o implementar una configuración.

Guía de Azure: Use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos.

Use la regla [deny] y [deploy if not exist] de Azure Policy para aplicar la configuración segura en los recursos de Azure.

Para la auditoría y el cumplimiento de la configuración de recursos no compatibles con Azure Policy, es posible que tenga que escribir sus propios scripts o usar herramientas de terceros para implementar la auditoría y el cumplimiento de la configuración.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-3: Definir y establecer configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2.2

Principio de seguridad: Defina las líneas base de configuración seguras para los recursos de proceso, como máquinas virtuales y contenedores. Use herramientas de administración de configuración para establecer la línea base de configuración automáticamente antes o durante la implementación de recursos de proceso para que el entorno pueda ser compatible de forma predeterminada después de la implementación. Como alternativa, use una imagen preconfigurada para compilar la línea base de configuración deseada en la plantilla de imagen de recurso de proceso.

Guía de Azure: Use la línea de base del sistema operativo recomendada de Azure (para Windows y Linux) como prueba comparativa para definir la línea base de configuración de recursos de proceso.

Además, puede usar una imagen de máquina virtual personalizada o una imagen de contenedor con la configuración de invitados de Azure Policy y la Configuración de Estado de Azure Automation para establecer la configuración de seguridad deseada.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-4: Auditar y aplicar configuraciones seguras para los recursos de proceso

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4,1 CM-2, CM-6 2.2

Principio de seguridad: Supervise y alerte continuamente cuando haya una desviación de la línea base de configuración definida en los recursos de proceso. Aplique la configuración deseada según la configuración de línea base al denegar la configuración no compatible o implementar una configuración en los recursos de proceso.

Guía de Azure: Use el agente de configuración de invitado de Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizadas o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo. Las plantillas de máquina virtual de Microsoft junto con State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad.

Nota: Microsoft administra y mantiene las imágenes de máquina virtual de Azure Marketplace publicadas por Microsoft.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-5: Realizar evaluaciones de vulnerabilidades

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Principio de seguridad: Realice la evaluación de vulnerabilidades para los recursos en la nube en todos los niveles de una programación fija o a petición. Realice un seguimiento y compare los resultados del examen para comprobar que se corrigen las vulnerabilidades. La evaluación debe incluir todo tipo de vulnerabilidades, como vulnerabilidades en servicios de Azure, red, web, sistemas operativos, configuraciones incorrectas, etc.

Tenga en cuenta los posibles riesgos asociados al acceso con privilegios que usan los escáneres de vulnerabilidades. Siga el procedimiento recomendado de seguridad de acceso con privilegios para proteger las cuentas administrativas que se usan para el examen.

Guía de Azure: Siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure, imágenes de contenedor y servidores SQL Server. Microsoft Defender for Cloud tiene un escáner de vulnerabilidades integrado para el examen de máquinas virtuales. Usar una solución de terceros para realizar evaluaciones de vulnerabilidades en aplicaciones y dispositivos de red (por ejemplo, aplicaciones web)

Exporte los resultados del examen a intervalos coherentes y compare los resultados con exámenes anteriores para comprobar que se han corregido las vulnerabilidades. Al usar las recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede acceder al portal de la solución de análisis seleccionada para ver los datos históricos de escaneo.

Al realizar escaneos remotos, no use una sola cuenta administrativa perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de análisis. Las credenciales de la cuenta de examen deben protegerse, supervisarse y usarse solo para el examen de vulnerabilidades.

Nota: Los servicios de Azure Defender (incluidos Defender para servidor, registro de contenedor, App Service, SQL y DNS) insertan determinadas funcionalidades de evaluación de vulnerabilidades. Las alertas generadas a partir de los servicios de Azure Defender deben supervisarse y revisarse junto con el resultado de la herramienta de análisis de vulnerabilidades de Microsoft Defender for Cloud.

Nota: Asegúrese de configurar las notificaciones por correo electrónico en Microsoft Defender for Cloud.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-6: Corrección rápida y automática de vulnerabilidades

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORRECCIÓN DE ERRORES 6.1, 6.2, 6.5, 11.2

Principio de seguridad: Implemente revisiones y actualizaciones de forma rápida y automática para corregir vulnerabilidades en los recursos en la nube. Use el enfoque adecuado basado en riesgos para priorizar la corrección de las vulnerabilidades. Por ejemplo, las vulnerabilidades más graves de un recurso de valor más alto deben abordarse como prioridad más alta.

Guía de Azure: Use Update Management de Azure Automation o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en sus máquinas virtuales con Windows y Linux. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update se ha habilitado y establecido para actualizarse automáticamente.

Para software de terceros, use una solución de administración de revisiones de terceros o System Center Updates Publisher para Configuration Manager.

Dé prioridad a las actualizaciones que se van a implementar primero mediante un programa de puntuación de riesgos común (como Common Vulnerability Scoring System) o las clasificaciones de riesgo predeterminadas proporcionadas por la herramienta de análisis de terceros y se adapten a su entorno. También debe tener en cuenta qué aplicaciones presentan un alto riesgo de seguridad y cuáles requieren un tiempo de actividad elevado.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PV-7: Realización de operaciones periódicas del equipo rojo

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Principio de seguridad: Simulación de ataques reales para proporcionar una vista más completa de la vulnerabilidad de la organización. Las operaciones del equipo rojo y las pruebas de penetración complementan el enfoque de análisis de vulnerabilidades tradicional para detectar riesgos.

Siga los procedimientos recomendados del sector para diseñar, preparar y llevar a cabo este tipo de pruebas para asegurarse de que no causará daños ni interrupciones en su entorno. Esto siempre debe incluir la discusión del ámbito y las restricciones de pruebas con las partes interesadas y los propietarios de recursos pertinentes.

Guía de Azure: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados críticos de seguridad.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::