Resumen
En este módulo, ha implementado la Configuración de Máquina de Azure para auditar y aplicar la configuración de seguridad del sistema operativo en la infraestructura de servidores de Contoso Manufacturing. Ha configurado la infraestructura de requisitos previos (la extensión de configuración de máquina de Azure y las identidades administradas asignadas por el sistema), las directivas de línea base de seguridad integradas de Windows y Linux en modo de auditoría, y ha creado configuraciones personalizadas para requisitos específicos de la organización.
Decisiones clave y principios de implementación
Inicie siempre las asignaciones de directivas en modo de auditoría antes de promoverlas a modo de aplicación. Este período de revisión identifica conflictos de configuración que podrían interrumpir la ejecución de aplicaciones y le permite documentar excepciones legítimas. Promover directamente al modo de aplicación conlleva el riesgo de interrupciones de servicio no deseadas cuando la corrección automatizada cambie los ajustes requeridos por el software de fábrica.
Tanto la extensión Azure Machine Configuration como una identidad administrada asignada por el sistema son requisitos previos obligatorios para la evaluación de cumplimiento. Sin estos componentes, la directiva no puede evaluar la configuración del sistema operativo. Implemente los requisitos previos mediante la iniciativa integrada antes de asignar directivas de línea de base y cree tareas de corrección para cubrir las máquinas virtuales existentes.
Las líneas base de seguridad integradas proporcionan cobertura inmediata de los controles de Microsoft Cloud Security Benchmark. Estas líneas de base abordan los requisitos de protección estándar del sector en las directivas de contraseña, la configuración de auditoría, los estados de servicio y las opciones de seguridad. Las configuraciones personalizadas amplían esta base a necesidades específicas de la organización: requisitos de software propietarios, configuraciones de compatibilidad del sistema heredadas o estándares de seguridad internos no cubiertos por Microsoft líneas base.
El mismo mecanismo de directiva abarca tanto las máquinas virtuales Azure como los servidores habilitados para Azure Arc. Una sola asignación en el ámbito del grupo de administración aplica configuraciones adecuadas para la plataforma a las máquinas virtuales de Windows Server en Azure y a los servidores Linux inscritos en Arc en la planta de fábrica.
Finalización de la ruta de aprendizaje
Con este módulo, completó la implementación de controles de seguridad en capas en el entorno de servidores de Contoso Manufacturing. Comenzó con Azure Disk Encryption para proteger los datos en reposo y agregó la supervisión de la integridad de arranque a través del inicio seguro. A continuación, implementó el acceso justo a tiempo para proteger las conexiones remotas, habilitó la detección de amenazas en tiempo de ejecución con Microsoft Defender para Servidores y concluyó con el cumplimiento de la configuración del sistema operativo a través de la Configuración de la Máquina. Cada capa aborda una superficie expuesta a ataques específica, juntas proporcionan defensa en profundidad en toda la plataforma de proceso.
Los servidores de fábrica que eran vulnerables a las desviaciones de configuración, ajustes de sistema operativo débiles y cambios del sistema no auditados ahora se evalúan continuamente con las referencias del sector y los requisitos específicos de Contoso. El equipo de seguridad obtiene visibilidad del cumplimiento a través del panel de Azure Policy, y la corrección automatizada, implementada cuidadosamente después de una revisión previa a la auditoría, evita la desviación de la configuración.