Descripción de la línea base de seguridad de la plataforma Azure
El grupo de ciberseguridad de Microsoft y el Centro para la seguridad de Internet (CIS) han desarrollado procedimientos recomendados para ayudarle a establecer las líneas de base de seguridad de la plataforma de Azure.
Microsoft se asoció inicialmente con CIS para desarrollar una máquina virtual de Azure protegida comercial. A continuación, se puso en marcha una iniciativa para crear un estándar de comparación del CIS, un documento que detalla los procedimientos recomendados por este organismo relativos a los servicios y las herramientas de seguridad de Azure con el objetivo de facilitar la seguridad y el cumplimiento de las aplicaciones de los clientes que se ejecutan en los servicios de Azure.
Sugerencia
La guía CIS Microsoft Azure Foundations Security Benchmark v.1.3.0 proporciona una guía prescriptiva para establecer una configuración de línea de base segura para Azure. Esta guía se ha probado en los servicios de Azure enumerados a partir febrero de 2021. El ámbito de este estándar de comparación es establecer el nivel fundamental de seguridad para cualquier persona que adopte Azure.
Creación de una línea base de seguridad de la plataforma
Diversos estándares de seguridad pueden ayudar a los clientes de servicios en la nube a alcanzar la seguridad de la carga de trabajo al usar estos servicios. Los siguientes grupos tecnológicos recomendados ayudan a crear cargas de trabajo seguras habilitadas para la nube. Estas recomendaciones no son una lista exhaustiva de todas las configuraciones y arquitecturas de seguridad posibles, sino que son un punto de partida.
CIS tiene dos niveles de implementación y varias categorías de recomendaciones:
Nivel 1: configuración de seguridad mínima recomendada
- Estos ajustes deben configurarse en todos los sistemas.
- Estas configuraciones no deberían producir ninguna interrupción de los servicios, o muy poca, ni una funcionalidad reducida.
Nivel 2: recomendaciones para entornos de alta seguridad
- Esta configuración puede dar lugar a una funcionalidad reducida.
En la tabla siguiente se proporcionan las categorías y el número de recomendaciones realizadas para cada categoría en CIS Microsoft Azure Foundations Security Benchmark v.1.3.0:
| Grupo de tecnología | Descripción | Número de recomendaciones |
|---|---|---|
| Administración de identidad y acceso (IAM) | Recomendaciones relacionadas con las directivas IAM | 23 |
| Microsoft Defender for Cloud | Recomendaciones relacionadas con la configuración y el uso de Microsoft Defender for Cloud | 19 |
| Cuentas de almacenamiento | Recomendaciones para establecer las directivas de la cuenta de almacenamiento | 7 |
| Azure SQL Database | Recomendaciones para ayudar a proteger las bases de datos de Azure SQL | 8 |
| Registro y supervisión | Recomendaciones a fin de establecer directivas de registro y supervisión para las suscripciones de Azure | 13 |
| Redes | Recomendaciones para ayudar a configurar de forma segura las directivas y la configuración de redes de Azure | 5 |
| Máquinas virtuales | Recomendaciones para establecer directivas de seguridad para los servicios de proceso de Azure, en particular, las máquinas virtuales | 6 |
| Otros | Recomendaciones relacionadas con la seguridad general y los controles operativos, incluidas las relacionadas con Azure Key Vault y los bloqueos de recursos | 3 |
| Total recomendado | 84 |
Vamos a explorar cada categoría con más detalle.