Compartir vía


Línea de base de seguridad de Azure para Batch

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Batch. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Batch.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Batch. Para ver cómo Batch se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Batch.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Batch, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Value
Categoría de productos Compute
El cliente puede acceder a HOST/OS. Solo lectura
El servicio se puede implementar en la red virtual del cliente. True
Almacena contenido de cliente en reposo False

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente grupos de Azure Batch dentro de una red virtual. Considere la posibilidad de aprovisionar el grupo sin direcciones IP públicas para restringir el acceso a los nodos de la red privada y reducir la detectabilidad de los nodos desde Internet.

Referencia: Creación de un grupo de Azure Batch en una red virtual

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: de forma predeterminada, Batch agrega grupos de seguridad de red (NSG) en el nivel de interfaces de red (NIC) asociado a los nodos de proceso.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Creación de un grupo de Azure Batch en una red virtual

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente puntos de conexión privados para Azure Batch cuentas. Esto restringe el acceso a las cuentas de Batch a la red virtual donde residen o a cualquier red virtual emparejada.

Referencia: Uso de puntos de conexión privados con cuentas de Azure Batch

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso de red pública a las cuentas de Batch estableciendo la opción "Acceso a la red pública" en deshabilitada.

Referencia: Deshabilitación del acceso a la red pública

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos en lugar de usar claves compartidas.

Referencia: Autenticación con Azure AD

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Autenticación mediante clave compartida

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Compartido

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Referencia: Configuración de identidades administradas en grupos de Batch

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía adicional: para autenticar una aplicación que se ejecuta desatendida, puede usar una entidad de servicio. Después de registrar la aplicación, realice las configuraciones adecuadas en Azure Portal para la entidad de servicio, como solicitar un secreto para la aplicación y asignar roles RBAC de Azure.

Referencia: Autenticación de soluciones de servicio batch con Azure Active Directory

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Azure Batch admite RBAC de Azure para administrar el acceso a estos tipos de recursos: cuentas, trabajos, tareas y grupos.

Referencia: Asignación de RBAC de Azure a la aplicación

Protección de los datos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: parte de la información especificada en las API de Batch, como certificados de cuenta, metadatos de tareas y trabajos, y líneas de comandos de tarea, se cifran automáticamente cuando el servicio Batch almacena. De forma predeterminada, estos datos se cifran mediante claves administradas por la plataforma de Azure Batch exclusivas de cada cuenta de Batch.

También puede cifrar estos datos mediante claves administradas por el cliente. Azure Key Vault se usa para generar y almacenar la clave, con el identificador de clave registrado en la cuenta de Batch.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesite el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Referencia: Configuración de claves administradas por el cliente

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Compartido

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o peligro de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.

Nota: El cliente debe participar en el uso de claves administradas por el cliente; de lo contrario, el servicio usará las claves de plataforma administradas por Microsoft.

Referencia: Configuración de claves administradas por el cliente para la cuenta de Azure Batch con Azure Key Vault e identidad administrada

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para los certificados de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Compartido

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, la importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez demasiado largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen rotando mediante métodos manuales en Azure Key Vault y la aplicación.

Referencia: Uso de certificados y acceso seguro a Azure Key Vault con Batch

Administración de recursos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar una configuración segura en los recursos de Azure.

En los escenarios en los que las definiciones de directiva integradas no existen, puede usar Azure Policy alias en el espacio de nombres "Microsoft.Batch" para crear directivas personalizadas.

Referencia: Azure Policy definiciones integradas para Azure Batch

AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual

Características

Microsoft Defender for Cloud: controles de aplicación adaptables

Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicación adaptables en Microsoft Defender for Cloud. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite los registros de recursos de Azure para Azure Batch para los siguientes tipos de registro: ServiceLog y AllMetrics.

Referencia: Métricas, alertas y registros de Batch para la evaluación y supervisión de diagnósticos

Posición y administración de vulnerabilidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.

PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso

Características

State Configuration de Azure Automation

Descripción: Azure Automation State Configuration se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Agente de configuración de invitado de Azure Policy

Descripción: Azure Policy agente de configuración de invitado se puede instalar o implementar como una extensión para calcular recursos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Imágenes de máquina virtual personalizadas

Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes pregeneradas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Compartido

Guía de configuración: cuando sea posible, use una imagen protegida preconfigurada de un proveedor de confianza como Microsoft o cree una línea base de configuración segura deseada en la plantilla de imagen de máquina virtual.

Los clientes también pueden usar imágenes de sistema operativo personalizadas para Azure Batch. Al usar la configuración de la máquina virtual para la Azure Batch, asegúrese de que las imágenes personalizadas se protegen según las necesidades de la organización. Para la administración del ciclo de vida, los grupos almacenan las imágenes en una galería de imágenes compartidas. Puede configurar un proceso de compilación de imágenes seguras mediante herramientas de automatización de Azure, como Azure Image Builder.

Referencia: Uso de una imagen administrada para crear un grupo de imágenes personalizado

Imágenes de contenedores personalizados

Descripción: el servicio admite el uso de imágenes de contenedor proporcionadas por el usuario o imágenes pregeneradas de Marketplace con determinadas configuraciones de línea base preaplicadas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Compartido

Guía de configuración: si usa el grupo de Batch para ejecutar tareas en contenedores compatibles con Docker en los nodos, use imágenes de contenedor protegidas preconfiguradas de un proveedor de confianza como Microsoft o cree la línea base de configuración segura deseada en la plantilla de imagen de contenedor.

Referencia: Ejecución de aplicaciones contenedora en Azure Batch

PV-5: Realización de evaluaciones de vulnerabilidades

Características

Evaluación de vulnerabilidades mediante Microsoft Defender

Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender para la nube u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios Microsoft Defender (incluidos Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

PV-6: Reparación rápida y automática de vulnerabilidades

Características

Update Management en Azure Automation

Descripción: el servicio puede usar Azure Automation Update Management para implementar revisiones y actualizaciones automáticamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Seguridad de punto de conexión

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Características

Solución EDR

Descripción: la característica detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

ES-2: Uso de software antimalware moderno

Características

Solución antimalware

Descripción: característica antimalware, como Microsoft Defender Antivirus, Microsoft Defender para punto de conexión se puede implementar en el punto de conexión. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Características

Supervisión del estado de la solución antimalware

Descripción: la solución antimalware proporciona supervisión del estado de mantenimiento para las actualizaciones automáticas de firma, motor y plataforma. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes