Detalles de la iniciativa integrada de cumplimiento normativo de FedRAMP High
En el artículo siguiente, se explica la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los controles y dominios de cumplimiento de FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de nivel de impacto alto de FedRAMP. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Después, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de FedRAMP High.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Control de acceso
Procedimientos y directiva de control de acceso
Id.: FedRAMP High AC-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
Administración de cuentas
Id.: FedRAMP High AC-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Asignación de administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Definición y aplicación de condiciones para las cuentas de grupo y compartidas | CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Administración de cuentas de sistema automatizadas
Id.: FedRAMP High AC-2 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Deshabilitación de cuentas inactivas
Id.: FedRAMP High AC-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
Acciones de auditoría automatizadas
Id.: FedRAMP High AC-2 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Cierre de sesión por inactividad
Id.: FedRAMP High AC-2 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y aplicación de la directiva de registro de inactividad | CMA_C1017: Definir y aplicar la directiva de registro de inactividad | Manual, Deshabilitado | 1.1.0 |
Esquemas basados en roles
Id.: FedRAMP High AC-2 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Restricciones de uso de cuentas o grupos compartidos
Id.: FedRAMP High AC-2 (9) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y aplicación de condiciones para las cuentas de grupo y compartidas | CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas | Manual, Deshabilitado | 1.1.0 |
Terminación de credenciales de cuentas de grupo o compartidas
Id.: FedRAMP High AC-2 (10) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Finalización de credenciales de cuenta controladas por el cliente | CMA_C1022: Finalizar credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
Condiciones de uso
Id.: FedRAMP High AC-2 (11) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Exigencia del uso adecuado de todas las cuentas | CMA_C1023: Exigir el uso adecuado de todas las cuentas | Manual, Deshabilitado | 1.1.0 |
Supervisión de cuentas o uso atípico
Id.: FedRAMP High AC-2 (12) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Deshabilitación de cuentas para individuos de alto riesgo
Id.: FedRAMP High AC-2 (13) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deshabilitación de cuentas de usuario que suponen un riesgo significativo | CMA_C1026: Deshabilitar las cuentas de usuario que suponen un riesgo significativo | Manual, Deshabilitado | 1.1.0 |
Aplicación de acceso
Id.: FedRAMP High AC-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Aplicación del flujo de información
Id.: FedRAMP High AC-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Los servicios de Azure Cognitive Search deben usarde vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-deprecated |
| [En desuso]: Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-en desuso |
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.0.1 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Filtros de directiva de seguridad
Id.: FedRAMP High AC-4 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
Separación física o lógica de los flujos de información
Id.: FedRAMP High AC-4 (21) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
Separación de obligaciones
Id.: FedRAMP High AC-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de autorizaciones de acceso para admitir la separación de obligaciones | CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación de la separación de obligaciones | CMA_0204: Documentar la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Separación de las obligaciones de las personas | CMA_0492: Separar las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Privilegios mínimos
Id.: FedRAMP High AC-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
Autorización del acceso a las funciones de seguridad
Id.: FedRAMP High AC-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Cuentas con privilegios
Id.: FedRAMP High AC-6 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
Revisión de privilegios de usuario
Id.: FedRAMP High AC-6 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
Niveles de privilegios para la ejecución de código
Id.: FedRAMP High AC-6 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicación de los privilegios de ejecución de software | CMA_C1041: Aplicar privilegios de ejecución de software | Manual, Deshabilitado | 1.1.0 |
Auditoría del uso de funciones con privilegios
Id.: FedRAMP High AC-6 (9) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Intentos de inicio de sesión incorrectos
Id.: FedRAMP High AC-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicación de un límite de intentos de inicio de sesión erróneos consecutivos | CMA_C1044: Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | Manual, Deshabilitado | 1.1.0 |
Control de sesiones simultáneas
Id.: FedRAMP High AC-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y aplicación del límite de sesiones simultáneas | CMA_C1050: Definir y aplicar el límite de sesiones simultáneas | Manual, Deshabilitado | 1.1.0 |
Finalización de la sesión
Id.: FedRAMP High AC-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finalizar la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Cierres de sesión iniciados por el usuario/Pantallas de mensajes
Id.: FedRAMP High AC-12 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Muestra de un mensaje de cierre de sesión explícito | CMA_C1056 - Mostrar un mensaje de cierre de sesión explícito | Manual, Deshabilitado | 1.1.0 |
| Proporción de la capacidad de cierre de sesión | CMA_C1055: Proporcionar la capacidad de cierre de sesión | Manual, Deshabilitado | 1.1.0 |
Acciones permitidas sin identificación o autenticación
Id.: FedRAMP High AC-14 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación de las acciones permitidas sin autenticación | CMA_0295: Identificar las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
Acceso remoto
Id.: FedRAMP High AC-17 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Los servicios de Azure Cognitive Search deben usarde vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-deprecated |
| [En desuso]: Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-en desuso |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud debe usar la inserción de red | Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Supervisión y control automatizados
Id.: FedRAMP High AC-17 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Los servicios de Azure Cognitive Search deben usarde vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-deprecated |
| [En desuso]: Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-en desuso |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud debe usar la inserción de red | Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Protección de confidencialidad e integridad mediante cifrado
Id.: FedRAMP High AC-17 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Puntos de control de acceso administrados
Id.: FedRAMP High AC-17 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
Comandos o acceso con privilegios
Id.: FedRAMP High AC-17 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Autorización del acceso remoto a comandos con privilegios | CMA_C1064: Autorizar el acceso remoto a comandos con privilegios | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Desconexión o deshabilitación del acceso
Id.: FedRAMP High AC-17 (9) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | CMA_C1066: Proporcionar la opción de desconectar o deshabilitar el acceso remoto | Manual, Deshabilitado | 1.1.0 |
Acceso inalámbrico
Id.: FedRAMP High AC-18 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Autenticación y cifrado
Id.: FedRAMP High AC-18 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Control de acceso para los dispositivos móviles
Id.: FedRAMP High AC-19 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de requisitos de los dispositivos móviles | CMA_0122: Definir requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
Cifrado completo basado en contenedores o dispositivos
Id.: FedRAMP High AC-19 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de requisitos de los dispositivos móviles | CMA_0122: Definir requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Uso de sistemas de información externos
Id.: FedRAMP High AC-20 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establecer los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para procesar los recursos | CMA_C1077: Establecer los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
Límites de uso autorizado
Id.: FedRAMP High AC-20 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprobar los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Dispositivos de almacenamiento portátiles
Id.: FedRAMP High AC-20 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Uso compartido de la información
Id.: FedRAMP High AC-21 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de las decisiones de uso compartido de la información | CMA_0028: Automatizar las decisiones de uso compartido de la información | Manual, Deshabilitado | 1.1.0 |
| Facilitación del uso compartido de la información | CMA_0284 - Facilitar el uso compartido de la información | Manual, Deshabilitado | 1.1.0 |
Contenido de acceso público
Id.: FedRAMP High AC-22 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Revisión del contenido antes de publicar información de acceso público | CMA_C1085 - Revisar el contenido antes de publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Revisión del contenido de acceso público para obtener información no pública | CMA_C1086: Revisar el contenido de acceso público para obtener información no pública | Manual, Deshabilitado | 1.1.0 |
| Formación del personal sobre la divulgación de la información no pública | CMA_C1084: Formar al personal sobre la divulgación de la información no pública | Manual, Deshabilitado | 1.1.0 |
Conocimiento y aprendizaje
Directivas y procedimientos de aprendizaje y concienciación de la seguridad
Id.: FedRAMP High AT-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Aprendizaje del reconocimiento de la seguridad
Id.: FedRAMP High AT-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación periódica de reconocimiento de seguridad | CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
Amenaza interna
Id.: FedRAMP High AT-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas | Manual, Deshabilitado | 1.1.0 |
Aprendizaje de seguridad basado en roles
Id.: FedRAMP High AT-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad basada en roles | CMA_C1094: Proporcionar formación de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
Ejercicios prácticos
Id.: FedRAMP High AT-3 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de los ejercicios prácticos basados en roles | CMA_C1096: Proporcionar los ejercicios prácticos basados en roles | Manual, Deshabilitado | 1.1.0 |
Comunicaciones sospechosas y comportamiento anómalo del sistema
Id.: FedRAMP High AT-3 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación basada en roles para las actividades sospechosas | CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas | Manual, Deshabilitado | 1.1.0 |
Registros de aprendizaje de seguridad
Id.: FedRAMP High AT-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la finalización de la formación de seguridad y privacidad | CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Conservación de registros de formación | CMA_0456: Conservar registros de formación | Manual, Deshabilitado | 1.1.0 |
Auditoría y responsabilidad
Procedimientos y directivas de auditoría y rendición de cuentas
Id.: FedRAMP High AU-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Auditoría de eventos
Id.: FedRAMP High AU-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisiones y actualizaciones
Id.: FedRAMP High AU-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de los eventos definidos en AU-02 | CMA_C1106: Revisar y actualizar los eventos definidos en AU-02 | Manual, Deshabilitado | 1.1.0 |
Contenido de los registros de auditoría
Id.: FedRAMP High AU-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Información de auditoría adicional
Id.: FedRAMP High AU-3 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Capacidad de almacenamiento de auditoría
Id.: FedRAMP High AU-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Respuesta a errores de procesamiento de auditoría
Id.: FedRAMP High AU-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Alertas en tiempo real
Id.: FedRAMP High AU-5 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | CMA_C1114: Proporcionar alertas en tiempo real para los errores de eventos de auditoría | Manual, Deshabilitado | 1.1.0 |
Revisión, análisis y creación de informes de auditoría
Id.: FedRAMP High AU-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Integración de procesos
Id.: FedRAMP High AU-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Correlación de repositorios de auditoría
Id.: FedRAMP High AU-6 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
Revisión y análisis centralizados
Id.: FedRAMP High AU-6 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Capacidades de integración o exploración y supervisión
Id.: FedRAMP High AU-6 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Integración del análisis del registro de auditoría | CMA_C1120: Integrar el análisis del registro de auditoría | Manual, Deshabilitado | 1.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Acciones permitidas
Id.: FedRAMP High AU-6 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Especificación de acciones permitidas asociadas con la información de auditoría del cliente | CMA_C1122 - Especificar acciones permitidas asociadas con la información de auditoría del cliente | Manual, Deshabilitado | 1.1.0 |
Ajuste de nivel de auditoría
Id.: FedRAMP High AU-6 (10) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ajuste del nivel de revisión, análisis y creación de informes de auditoría | CMA_C1123: Ajustar el nivel de revisión, análisis y creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
Reducción de auditoría y generación de informes
Id.: FedRAMP High AU-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que no se modifican los registros de auditoría | CMA_C1125: Asegurarse de que no se modifican los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | CMA_C1124: Proporcionar capacidad de revisión, análisis e informes de auditoría | Manual, Deshabilitado | 1.1.0 |
Procesamiento automático
Id.: FedRAMP High AU-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente | Manual, Deshabilitado | 1.1.0 |
Marcas de tiempo
Id.: FedRAMP High AU-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de los relojes del sistema para registros de auditoría | CMA_0535: Usar los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Sincronización con un recurso de hora autorizado
Id.: FedRAMP High AU-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de los relojes del sistema para registros de auditoría | CMA_0535: Usar los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Protección de la información de auditoría
Id.: FedRAMP High AU-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
Auditoría de copias de seguridad en sistemas o componentes físicos separados
Id.: FedRAMP High AU-9 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
Protección criptográfica
Id.: FedRAMP High AU-9 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Mantener la integridad del sistema de auditoría | CMA_C1133: Mantener la integridad del sistema de auditoría | Manual, Deshabilitado | 1.1.0 |
Acceso por subconjunto de usuarios con privilegios
Id.: FedRAMP High AU-9 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
No rechazo
Id.: FedRAMP High AU-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establecer requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
Retención de los registros de auditoría
Id.: FedRAMP High AU-11 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
Generación de auditoría
Id.: FedRAMP High AU-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Registro de auditoría de todo el sistema o en correlación con el tiempo
Id.: FedRAMP High AU-12 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Compilación de los registros de auditoría en la auditoría de todo el sistema | CMA_C1140: Compilar los registros de auditoría en la auditoría de todo el sistema | Manual, Deshabilitado | 1.1.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Cambios realizados por personas autorizadas
Id.: FedRAMP High AU-12 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de la capacidad de ampliar o limitar la auditoría de los recursos implementados por el cliente | CMA_C1141: Proporcionar la capacidad de ampliar o limitar la auditoría de los recursos implementados por el cliente | Manual, Deshabilitado | 1.1.0 |
Evaluación de seguridad y autorización
Directiva y procedimientos de autorización y valoración de seguridad
Id.: FedRAMP High CA-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
Valoraciones de seguridad
Id.: FedRAMP High CA-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Generación de informe de evaluación de seguridad | CMA_C1146: Generar informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Asesores independientes
Id.: FedRAMP High CA-2 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de evaluadores independientes para valorar el control de seguridad | CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad | Manual, Deshabilitado | 1.1.0 |
Valoraciones especializadas
Id.: FedRAMP High CA-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Selección de pruebas adicionales para evaluaciones de control de seguridad | CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad | Manual, Deshabilitado | 1.1.0 |
Organizaciones externas
Id.: FedRAMP High CA-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aceptación de resultados de la valoración | CMA_C1150 - Aceptar resultados de la valoración | Manual, Deshabilitado | 1.1.0 |
Interconexiones del sistema
Id.: FedRAMP High CA-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Requerir acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de seguridad de interconexión | CMA_0519: Actualizar los contratos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
Conexiones no clasificadas del sistema de seguridad no nacional
Id.: FedRAMP High CA-3 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
Restricciones de las conexiones de sistema externo
Id.: FedRAMP High CA-3 (5)Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de restricciones en las interconexiones del sistema externo | CMA_C1155: Usar restricciones en las interconexiones del sistema externo | Manual, Deshabilitado | 1.1.0 |
Plan de acción e hitos
Id.: FedRAMP High CA-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Autorización de seguridad
Id.: FedRAMP High CA-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de un oficial de autorización (AO) | CMA_C1158: Asignar un oficial de autorización (AO) | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los recursos están autorizados | CMA_C1159: Asegurarse de que los recursos están autorizados | Manual, Deshabilitado | 1.1.0 |
| Actualización de la autorización de seguridad | CMA_C1160: Actualizar la autorización de seguridad | Manual, Deshabilitado | 1.1.0 |
Supervisión continua
Id.: FedRAMP High CA-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Valoración independiente
Id.: FedRAMP High CA-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Contratación de evaluadores independientes para que hagan una supervisión continua | CMA_C1168: Contratar a evaluadores independientes para que hagan una supervisión continua | Manual, Deshabilitado | 1.1.0 |
Análisis de tendencias
Id.: FedRAMP High CA-7 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Análisis de los datos obtenidos de la supervisión continua | CMA_C1169: Analizar los datos obtenidos de la supervisión continua | Manual, Deshabilitado | 1.1.0 |
Agente o equipo de penetración independiente
Id.: FedRAMP High CA-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
Conexiones internas del sistema
Id.: FedRAMP High CA-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
Administración de la configuración
Procedimientos y directivas de administración de configuración
Id.: FedRAMP High CM-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
Configuración de línea de base
Id.: FedRAMP High CM-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Compatibilidad de automatización para precisión o moneda
Id.: FedRAMP High CM-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Retención de configuraciones anteriores
Id.: FedRAMP High CM-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Conservación de las versiones anteriores de las configuraciones de línea base | CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo
Id.: FedRAMP High CM-2 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen | Manual, Deshabilitado | 1.1.0 |
| Denegación de que los sistemas de información acompañen a las personas | CMA_C1182: No permitir que los sistemas de información acompañen a las personas | Manual, Deshabilitado | 1.1.0 |
Control de cambios de configuración
Id.: FedRAMP High CM-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Documento, notificación o prohibición automáticos de cambios
Id.: FedRAMP High CM-3 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
Prueba, validación o documentación de cambios
Id.: FedRAMP High CM-3 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Representante de seguridad
Id.: FedRAMP High CM-3 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de un representante de seguridad de la información para cambiar el control | CMA_C1198: Asignar un representante de seguridad de la información para cambiar el control | Manual, Deshabilitado | 1.1.0 |
Administración de criptografía
Id.: FedRAMP High CM-3 (6) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | CMA_C1199: Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | Manual, Deshabilitado | 1.1.0 |
Análisis del impacto de seguridad
Id.: FedRAMP High CM-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Separación de entornos de prueba
Id.: FedRAMP High CM-4 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
Restricciones de acceso para cambios
Id.: FedRAMP High CM-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Cumplimiento de acceso o auditoría automatizados
Id.: FedRAMP High CM-5 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Exigencia y auditoría de las restricciones de acceso | CMA_C1203: Exigir y auditar las restricciones de acceso | Manual, Deshabilitado | 1.1.0 |
Revisión de los cambios del sistema
Id.: FedRAMP High CM-5 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión de los cambios en busca de cambios no autorizados | CMA_C1204: Revisar los cambios en busca de cambios no autorizados | Manual, Deshabilitado | 1.1.0 |
Componentes firmados
Id.: FedRAMP High CM-5 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Restricción de la instalación de software y firmware no autorizados | CMA_C1205: Restringir la instalación de software y firmware no autorizados | Manual, Deshabilitado | 1.1.0 |
Limitación de privilegios de producción u operativos
Id.: FedRAMP High CM-5 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
Valores de configuración
Id.: FedRAMP High CM-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. | Audit, Disabled | 1.0.2 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.3.0 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
| Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Automatización de la comprobación, la aplicación y la administración de manera centralizada
Id.: FedRAMP High CM-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Control del cumplimiento de los proveedores de servicios en la nube | CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Funcionalidad mínima
Id.: FedRAMP High CM-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
Inventario de componentes del sistema de información
Id.: FedRAMP High CM-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Actualizaciones durante instalaciones o eliminaciones
Id.: FedRAMP High CM-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Detección automatizada de componentes no autorizados
Id.: FedRAMP High CM-8 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilitar la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Información de responsabilidad
Id.: FedRAMP High CM-8 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
Plan de administración de configuración
Id.: FedRAMP High CM-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de la protección del plan de configuración | CMA_C1233: Crear la protección del plan de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de identificación de elementos de configuración | CMA_C1231: Desarrollar un plan de identificación de elementos de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de administración de configuración | CMA_C1232: Desarrollar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Restricciones de uso de software
Id.: FedRAMP High CM-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerir el cumplimiento de los derechos de propiedad intelectual | CMA_0432: Requerir el cumplimiento de los derechos de propiedad intelectual | Manual, Deshabilitado | 1.1.0 |
| Seguimiento del uso de licencias de software | CMA_C1235: Realizar un seguimiento del uso de licencias de software | Manual, Deshabilitado | 1.1.0 |
Software de código abierto
Id.: FedRAMP High CM-10 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Restricción del uso de software de código abierto | CMA_C1237 - Restringir el uso de software de código abierto | Manual, Deshabilitado | 1.1.0 |
Planes de contingencia
Procedimientos y directiva de los planes de contingencia
Id.: FedRAMP High CP-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
Plan de contingencia
Id.: FedRAMP High CP-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunicar los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de planes de contingencia | CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuir directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualizar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
Coordinación con planes relacionados
Id.: FedRAMP High CP-2 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
Planificación de capacidad
Id.: FedRAMP High CP-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización del planeamiento de capacidad | CMA_C1252: Realizar el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
Reanudación de misiones esenciales o funciones empresariales
Id.: FedRAMP High CP-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Reanudación de todas las misiones o funciones empresariales
Id.: FedRAMP High CP-2 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
Continuación de funciones empresariales o misiones esenciales
Id.: FedRAMP High CP-2 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Identificación de recursos críticos
Id.: FedRAMP High CP-2 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | CMA_0386: Realizar una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | Manual, Deshabilitado | 1.1.0 |
Aprendizaje sobre contingencia
Id.: FedRAMP High CP-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación sobre contingencias | CMA_0412: Proporcionar formación sobre contingencias | Manual, Deshabilitado | 1.1.0 |
Eventos simulados
Id.: FedRAMP High CP-3 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Incorporación de formación de contingencia simulada | CMA_C1260: Incorporar formación de contingencia simulada | Manual, Deshabilitado | 1.1.0 |
Pruebas del plan de contingencia
Id.: FedRAMP High CP-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Inicio de acciones correctivas para probar el plan de contingencia | CMA_C1263: Iniciar acciones correctivas para probar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión de los resultados de las pruebas del plan de contingencia | CMA_C1262: Revisar los resultados de las pruebas del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Prueba del plan de continuidad empresarial y recuperación ante desastres | CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
Coordinación con planes relacionados
Id.: FedRAMP High CP-4 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
Sitio de procesamiento alternativo
Id.: FedRAMP High CP-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de las capacidades alternativas del sitio de procesamiento | CMA_C1266: Evaluar las capacidades alternativas del sitio de procesamiento | Manual, Deshabilitado | 1.1.0 |
| Prueba del plan de contingencia en una ubicación de procesamiento alternativa | CMA_C1265: Probar el plan de contingencia en una ubicación de procesamiento alternativa | Manual, Deshabilitado | 1.1.0 |
Sitio de almacenamiento alternativo
Id.: FedRAMP High CP-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Separación del sitio principal
Id.: FedRAMP High CP-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Objetivos de tiempo o punto de recuperación
Id.: FedRAMP High CP-6 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | Manual, Deshabilitado | 1.1.0 |
Accesibilidad
Id.: FedRAMP High CP-6 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
Sitio de procesamiento alternativo
Id.: FedRAMP High CP-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
Separación del sitio principal
Id.: FedRAMP High CP-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
Accesibilidad
Id.: FedRAMP High CP-7 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
Prioridad de servicio
Id.: FedRAMP High CP-7 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establecer requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
Preparación para el uso
Id.: FedRAMP High CP-7 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | CMA_C1278: Preparar el sitio de procesamiento alternativo para usarlo como sitio operativo | Manual, Deshabilitado | 1.1.0 |
Prioridad de los aprovisionamientos de servicio
Id.: FedRAMP High CP-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establecer requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
Copia de seguridad del sistema de información
Id.: FedRAMP High CP-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
Almacenamiento independiente para la información crítica
Id.: FedRAMP High CP-9 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Almacenamiento independiente de la información de copia de seguridad por separado | CMA_C1293: Almacenar la información de copia de seguridad por separado | Manual, Deshabilitado | 1.1.0 |
Transferencia al sitio de almacenamiento alternativo
Id.: FedRAMP High CP-9 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
Reconstitución y recuperación del sistema de información
Id.: FedRAMP High CP-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Recuperación y reconstrucción de los recursos después de una interrupción | CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción | Manual, Deshabilitado | 1.1.1 |
Recuperación de la transacción
Id.: FedRAMP High CP-10 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementar la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
Restauración en el período de tiempo
Id.: FedRAMP High CP-10 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Restauración de los recursos al estado operativo | CMA_C1297: Restaurar los recursos al estado operativo | Manual, Deshabilitado | 1.1.1 |
Identificación y autenticación
Procedimientos y directivas de identificación y autenticación
Id.: FedRAMP High IA-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
Identificación y autenticación (usuarios de la organización)
Id.: FedRAMP High IA-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
Acceso de red a cuentas con privilegios
Id.: FedRAMP High IA-2 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Acceso de red a cuentas sin privilegios
Id.: FedRAMP High IA-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Acceso local a cuentas con privilegios
Id.: FedRAMP High IA-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Autenticación de grupos
Id.: FedRAMP High IA-2 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento del uso de autenticadores individuales | CMA_C1305: Requerir el uso de autenticadores individuales | Manual, Deshabilitado | 1.1.0 |
Acceso remoto: dispositivo independiente
Id.: FedRAMP High IA-2 (11) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
Aceptación de credenciales de PIV
Id.: FedRAMP High IA-2 (12) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
Administración de identificadores
Id.: FedRAMP High IA-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Asignación de identificadores del sistema | CMA_0018: Asignar identificadores del sistema | Manual, Deshabilitado | 1.1.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Impedimento de la reutilización de identificadores para el periodo de tiempo definido | CMA_C1314: Impedir la reutilización de identificadores para el periodo de tiempo definido | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Identificación del estado del usuario
Id.: FedRAMP High IA-4 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación del estado de los usuarios individuales | CMA_C1316: Identificar el estado de los usuarios individuales | Manual, Deshabilitado | 1.1.0 |
Administración de autenticadores
Id.: FedRAMP High IA-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
| Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Autenticación basada en contraseñas
Id.: FedRAMP High IA-5 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Autenticación basada en PKI
Id.: FedRAMP High IA-5 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Enlace de autenticadores e identidades dinámicamente | CMA_0035: Enlazar autenticadores e identidades dinámicamente | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de parámetros para buscar autenticadores y verificadores de secretos | CMA_0274: Establecer parámetros para buscar autenticadores y verificadores de secretos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Asignación de identidades autenticadas a personas | CMA_0372: Asignar identidades autenticadas a personas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Registro de terceros en persona o de confianza
Id.: FedRAMP High IA-5 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Distribución de autenticadores | CMA_0184: Distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Compatibilidad automatizada para la determinación de la seguridad de la contraseña
Id.: FedRAMP High IA-5 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
Protección de autenticadores
Id.: FedRAMP High IA-5 (6) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | CMA_C1339: Garantizar que los usuarios autorizados protejan los autenticadores proporcionados | Manual, Deshabilitado | 1.1.0 |
Autenticadores estáticos no integrados sin cifrar
Id.: FedRAMP High IA-5 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
Autenticación basada en el token de hardware
Id.: FedRAMP High IA-5 (11) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
Expiración de los autenticadores en caché
Id.: FedRAMP High IA-5 (13) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aplicación de la expiración de los autenticadores almacenados en caché | CMA_C1343: Aplicar la expiración de los autenticadores almacenados en caché | Manual, Deshabilitado | 1.1.0 |
Comentarios de autenticador
Id.: FedRAMP High IA-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ocultación de información de comentarios durante el proceso de autenticación | CMA_C1344: Ocultar información de comentarios durante el proceso de autenticación | Manual, Deshabilitado | 1.1.0 |
Autenticación del módulo criptográfico
Id.: FedRAMP High IA-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
Identificación y autenticación (usuarios que no pertenecen a la organización)
Id.: FedRAMP High IA-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
Aceptación de credenciales de PIV de otras agencias
Id.: FedRAMP High IA-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aceptación de credenciales de PIV | CMA_C1347: Aceptar credenciales de PIV | Manual, Deshabilitado | 1.1.0 |
Aceptación de credenciales de terceros
Id.: FedRAMP High IA-8 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aceptación de solo credenciales de terceros aprobadas por FICAM | CMA_C1348: Aceptar solo credenciales de terceros aprobadas por FICAM | Manual, Deshabilitado | 1.1.0 |
Uso de productos aprobados por FICAM
Id.: FedRAMP High IA-8 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | CMA_C1349: Usar recursos aprobados por FICAM para aceptar credenciales de terceros | Manual, Deshabilitado | 1.1.0 |
Uso de perfiles emitidos por FICAM
Id.: FedRAMP High IA-8 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Conformidad con los perfiles emitidos por FICAM | CMA_C1350 - Ajustarse a los perfiles emitidos por FICAM | Manual, Deshabilitado | 1.1.0 |
Respuesta a los incidentes
Procedimientos y directiva de respuesta a los incidentes
Id.: FedRAMP High IR-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Aprendizaje sobre la respuesta a los incidentes
Id.: FedRAMP High IR-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
Eventos simulados
Id.: FedRAMP High IR-2 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Incorporación de los eventos simulados en la formación de respuesta a los incidentes | CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes | Manual, Deshabilitado | 1.1.0 |
Entornos de entrenamiento automatizado
Id.: FedRAMP High IR-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un entorno de formación automatizado | CMA_C1357: Emplear un entorno de formación automatizado | Manual, Deshabilitado | 1.1.0 |
Pruebas de la respuesta a los incidentes
Id.: FedRAMP High IR-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
Coordinación con planes relacionados
Id.: FedRAMP High IR-3 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
Tratamiento de incidentes
Id.: FedRAMP High IR-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Procesos automatizados de control de incidentes
Id.: FedRAMP High IR-4 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
Reconfiguración dinámica
Id.: FedRAMP High IR-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Inclusión de reconfiguración dinámica de recursos implementados por el cliente | CMA_C1364: Incluir la reconfiguración dinámica de los recursos implementados por el cliente | Manual, Deshabilitado | 1.1.0 |
Continuidad de las operaciones
Id.: FedRAMP High IR-4 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación de clases de incidentes y acciones realizadas | CMA_C1365: Identificar clases de incidentes y acciones realizadas | Manual, Deshabilitado | 1.1.0 |
Correlación de la información
Id.: FedRAMP High IR-4 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
Amenazas internas: funcionalidades específicas
Id.: FedRAMP High IR-4 (6) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la capacidad de control de incidentes | CMA_C1367: Implementar la capacidad de control de incidentes | Manual, Deshabilitado | 1.1.0 |
Correlación con organizaciones externas
Id.: FedRAMP High IR-4 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | CMA_C1368: Coordinar con las organizaciones externas para lograr una perspectiva entre organizaciones | Manual, Deshabilitado | 1.1.0 |
Supervisión de incidentes
Id.: FedRAMP High IR-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Informes automatizados
Id.: FedRAMP High IR-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Ayuda para la respuesta a los incidentes
Id.: FedRAMP High IR-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Compatibilidad automatizada para la disponibilidad de la información o soporte técnico
Id.: FedRAMP High IR-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Coordinación con proveedores externos
Id.: FedRAMP High IR-7 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos | Manual, Deshabilitado | 1.1.0 |
| Identificación del personal de respuesta a incidentes | CMA_0301: Identificar el personal de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Plan de respuesta a los incidentes
Id.: FedRAMP High IR-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantener registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Proteger el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Respuesta a derrames de información
Id.: FedRAMP High IR-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Identificación de los sistemas y componentes contaminados | CMA_0300: identificar sistemas y componentes importados | Manual, Deshabilitado | 1.1.0 |
| Identificación de la información volcada | CMA_0303: Identificar la información volcada | Manual, Deshabilitado | 1.1.0 |
| Aislamiento de volcados de información | CMA_0346: Aislar los volcados de información | Manual, Deshabilitado | 1.1.0 |
Personal responsable
Id.: FedRAMP High IR-9 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación del personal de respuesta a incidentes | CMA_0301: Identificar el personal de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Cursos
Id.: FedRAMP High IR-9 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
Operaciones posteriores al volcado
Id.: FedRAMP High IR-9 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de procedimientos de respuesta de volcado | CMA_0162: Desarrollar procedimientos de respuesta de volcado | Manual, Deshabilitado | 1.1.0 |
Exposición a personal no autorizado
Id.: FedRAMP High IR-9 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
Mantenimiento
Procedimientos y directiva de mantenimiento del sistema
Id.: FedRAMP High MA-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
Mantenimiento controlado
Id.: FedRAMP High MA-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Actividades de mantenimiento automatizado
Id.: FedRAMP High MA-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de las actividades de mantenimiento remoto | CMA_C1402: Automatizar las actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
| Generación de registros completos de actividades de mantenimiento remoto | CMA_C1403: Generar registros completos de actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
Herramientas de mantenimiento
Id.: FedRAMP High MA-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Inspección de herramientas
Id.: FedRAMP High MA-3 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Inspección del soporte físico
Id.: FedRAMP High MA-3 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Impedir la eliminación no autorizada
Id.: FedRAMP High MA-3 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Mantenimiento no local
Id.: FedRAMP High MA-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Mantenimiento no local de documentos
Id.: FedRAMP High MA-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
Seguridad o saneamiento comparable
Id.: FedRAMP High MA-4 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de todo el mantenimiento no local | CMA_C1417: Realizar todo el mantenimiento no local | Manual, Deshabilitado | 1.1.0 |
Protección criptográfica
Id.: FedRAMP High MA-4 (6) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de mecanismos criptográficos | CMA_C1419: Implementar mecanismos criptográficos | Manual, Deshabilitado | 1.1.0 |
Personal de mantenimiento
Id.: FedRAMP High MA-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal para supervisar las actividades de mantenimiento no autorizadas | CMA_C1422: Designar personal para supervisar las actividades de mantenimiento no autorizadas | Manual, Deshabilitado | 1.1.0 |
| Conservación de una lista de personal de mantenimiento remoto autorizado | CMA_C1420: Mantener una lista de personal de mantenimiento remoto autorizado | Manual, Deshabilitado | 1.1.0 |
| Administración del personal de mantenimiento | CMA_C1421: Administrar el personal de mantenimiento | Manual, Deshabilitado | 1.1.0 |
Personas sin acceso adecuado
Id.: FedRAMP High MA-5 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Mantenimiento temporal
Id.: FedRAMP High MA-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de soporte técnico de mantenimiento oportuno | CMA_C1425: Proporcionar soporte técnico de mantenimiento oportuno | Manual, Deshabilitado | 1.1.0 |
Protección de elementos multimedia
Procedimientos y directivas de protección de elementos multimedia
Id.: FedRAMP High MP-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Acceso a medios
Id.: FedRAMP High MP-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Marcado de medios
Id.: FedRAMP High MP-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Almacenamiento de medios
Id.: FedRAMP High MP-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Transporte de medios
Id.: FedRAMP High MP-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Protección criptográfica
Id.: FedRAMP High MP-5 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Saneamiento de medios
Id.: FedRAMP High MP-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Revisión, aprobación, seguimiento, documentación y comprobación
Id.: FedRAMP High MP-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Pruebas de equipos
Id.: FedRAMP High MP-6 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Uso de los medios
Id.: FedRAMP High MP-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringir el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Prohibir el uso sin propietario
Id.: FedRAMP High MP-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringir el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Protección física y del entorno
Procedimientos y directivas de protección física y del entorno
Id.: FedRAMP High PE-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Autorizaciones de acceso físico
Id.: FedRAMP High PE-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
Control de acceso físico
Id.: FedRAMP High PE-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Control de acceso para medios de transmisión
Id.: FedRAMP High PE-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Control de acceso para los dispositivos de salida
Id.: FedRAMP High PE-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Dispositivos de vigilancia o alarmas de intrusión
Id.: FedRAMP High PE-6 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de un sistema de seguridad con cámara de vigilancia | CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
Registros de acceso de los visitantes
Id.: FedRAMP High PE-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Iluminación de emergencia
Id.: FedRAMP High PE-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de iluminación de emergencia automática | CMA_0209: Usar iluminación de emergencia automática | Manual, Deshabilitado | 1.1.0 |
Protección contra incendios
Id.: FedRAMP High PE-13 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Dispositivos o sistemas de detección
Id.: FedRAMP High PE-13 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de una metodología de pruebas de penetración | CMA_0306: Implementar una metodología de pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
Dispositivos o sistemas de eliminación
Id.: FedRAMP High PE-13 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Extinción automática de incendios
Id.: FedRAMP High PE-13 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Controles de temperatura y humedad
Id.: FedRAMP High PE-14 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Supervisión con alarmas o notificaciones
Id.: FedRAMP High PE-14 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
Protección contra daños por el agua
Id.: FedRAMP High PE-15 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Entrega y eliminación
Id.: FedRAMP High PE-16 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de los requisitos para administrar recursos | CMA_0125: Definir los requisitos para administrar recursos | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Lugar de trabajo alternativo
Id.: FedRAMP High PE-17 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
Ubicación de los componentes del sistema de información
Id.: FedRAMP High PE-18 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Planificación
Procedimientos y directiva del planeamiento de seguridad
Id.: FedRAMP High PL-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Plan de seguridad del sistema
Id.: FedRAMP High PL-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Planificación o coordinación con otras entidades organizativas
Id.: FedRAMP High PL-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Reglas de comportamiento
Id.: FedRAMP High PL-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de la directiva de código de conducta de la organización | CMA_0159: Desarrollar la directiva de código de conducta de la organización | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Prohibición de prácticas ilegales | CMA_0396: Prohibir prácticas ilegales | Manual, Deshabilitado | 1.1.0 |
| Revisión y firma de reglas de comportamiento revisadas | CMA_0465: Revisar y firmar reglas de comportamiento revisadas | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso | CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años | Manual, Deshabilitado | 1.1.0 |
Restricciones de elementos multimedia y redes sociales
Id.: FedRAMP High PL-4 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
Arquitectura de seguridad de la información
Id.: FedRAMP High PL-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de un concepto de operaciones (CONOPS) | CMA_0141: Desarrollar un concepto de operaciones (CONOPS) | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de la arquitectura de seguridad de la información | CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Seguridad del personal
Procedimientos y directiva de seguridad del personal
Id.: FedRAMP High PS-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
Designación de riesgos de puestos
Id.: FedRAMP High PS-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de designaciones de riesgo | CMA_0016: Asignar designaciones de riesgo | Manual, Deshabilitado | 1.1.0 |
Filtrado del personal
Id.: FedRAMP High PS-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borrar al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementar el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisar individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Información con medidas de protección especiales
Id.: FedRAMP High PS-3 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Finalización del contrato del personal
Id.: FedRAMP High PS-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una entrevista de salida tras la finalización de contrato | CMA_0058: Realizar una entrevista de salida tras la finalización de contrato | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notificar tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Protección e impedimento de los robos de datos de los empleados que se marchan | CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Notificación automatizada
Id.: FedRAMP High PS-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la notificación de la finalización de contrato de los empleados | CMA_C1521: Automatizar la notificación de la finalización de contrato de los empleados | Manual, Deshabilitado | 1.1.0 |
Transferencia de personal
Id.: FedRAMP High PS-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Inicio de acciones de transferencia o reasignación | CMA_0333: Iniciar acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notificar tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevaluar el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
Contratos de acceso
Id.: FedRAMP High PS-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de los contratos de acceso de la organización | CMA_0192: Documentar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen acuerdos de acceso | CMA_0440: Requerir a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de acceso de la organización | CMA_0520: Actualizar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
Seguridad del personal de terceros
Id.: FedRAMP High PS-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de los requisitos de seguridad del personal de terceros | CMA_C1531: Documentar los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad del personal de terceros | CMA_C1529: Establecer los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Supervisión del cumplimiento de los proveedores de terceros | CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
Sanciones del personal
Id.: FedRAMP High PS-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del proceso formal de sanción | CMA_0317: Implementar el proceso formal de sanción | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal sobre las sanciones | CMA_0380: Notificar al personal sobre las sanciones | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos
Directiva de evaluación de riesgos y procedimientos
Id.: FedRAMP High RA-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Categorización de seguridad
Id.: FedRAMP High RA-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Clasificación de la información | CMA_0052: Clasificar la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de esquemas de clasificación empresarial | CMA_0155: Desarrollar esquemas de clasificación empresarial | Manual, Deshabilitado | 1.1.0 |
| Garantía de que se aprueba la categorización de seguridad | CMA_C1540: Asegurarse de que se aprueba la categorización de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos
Id.: FedRAMP High RA-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribuir sus resultados | CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Examen de vulnerabilidades
Id.: FedRAMP High RA-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse | Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Funcionalidad de la herramienta de actualización
Id.: FedRAMP High RA-5 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique
Id.: FedRAMP High RA-5 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Amplitud o profundidad de cobertura
Id.: FedRAMP High RA-5 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Información detectable
Id.: FedRAMP High RA-5 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Toma de medidas en respuesta a la información del cliente | CMA_C1554: Tomar medidas en respuesta a la información del cliente | Manual, Deshabilitado | 1.1.0 |
Acceso con privilegios
Id.: FedRAMP High RA-5 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Análisis de tendencias automatizados
Id.: FedRAMP High RA-5 (6) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Observación e informe de los puntos débiles de seguridad | CMA_0384: Observar e informar de los puntos débiles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realización del modelado de amenazas | CMA_0392: Realizar el modelado de amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Revisión de registros de auditoría históricos
Id.: FedRAMP High RA-5 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de los eventos de protección contra vulnerabilidades de seguridad | CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Correlación de información de examen
Id.: FedRAMP High RA-5 (10) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
Adquisición del sistema y los servicios
Procedimientos y directiva de adquisición del sistema y los servicios
Id.: FedRAMP High SA-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
Asignación de recursos
Id.: FedRAMP High SA-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Ciclo de vida del desarrollo del sistema
Id.: FedRAMP High SA-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
Proceso de adquisición
Id.: FedRAMP High SA-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
Propiedades funcionales de controles de seguridad
Id.: FedRAMP High SA-4 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Obtención de propiedades funcionales de controles de seguridad | CMA_C1575: Obtener propiedades funcionales de controles de seguridad | Manual, Deshabilitado | 1.1.0 |
Información de diseño e implementación para controles de seguridad
Id.: FedRAMP High SA-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Obtención de información de diseño e implementación para los controles de seguridad | CMA_C1576: Obtener información de diseño e implementación para los controles de seguridad | Manual, Deshabilitado | 1.1.1 |
Plan de supervisión continua
Id.: FedRAMP High SA-4 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Obtención de un plan de supervisión continua para los controles de seguridad | CMA_C1577: Obtener un plan de supervisión continua para los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
Funciones, puertos, protocolos, servicios en uso
Id.: FedRAMP High SA-4 (9) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | CMA_C1578: Requerir al desarrollador que identifique los puertos, protocolos y servicios SDLC | Manual, Deshabilitado | 1.1.0 |
Uso de productos PIV aprobados
Id.: FedRAMP High SA-4 (10) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de tecnología aprobada por FIPS 201 para PIV | CMA_C1579: Usar tecnología aprobada por FIPS 201 para PIV | Manual, Deshabilitado | 1.1.0 |
Documentación del sistema de información
Id.: FedRAMP High SA-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Distribución de la documentación del sistema de información | CMA_C1584: Distribuir la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Acciones definidas del cliente del documento | CMA_C1582: Acciones definidas del cliente del documento | Manual, Deshabilitado | 1.1.0 |
| Obtención de documentación para administradores | CMA_C1580: Obtener documentación para administradores | Manual, Deshabilitado | 1.1.0 |
| Obtención de la documentación de la función de seguridad del usuario | CMA_C1581: Obtener la documentación de la función de seguridad del usuario | Manual, Deshabilitado | 1.1.0 |
| Protección de la documentación del administrador y del usuario | CMA_C1583: Proteger la documentación del administrador y del usuario | Manual, Deshabilitado | 1.1.0 |
Servicios del sistema de información externo
Id.: FedRAMP High SA-9 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Evaluaciones de riesgos o aprobaciones de la organización
Id.: FedRAMP High SA-9 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Obtención de aprobaciones para adquisiciones y externalizaciones | CMA_C1590: Obtener aprobaciones para adquisiciones y externalizaciones | Manual, Deshabilitado | 1.1.0 |
Identificación de funciones, puertos, protocolos o servicios
Id.: FedRAMP High SA-9 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Identificación de proveedores de servicios externos | CMA_C1591: Identificar proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
Intereses coherentes de consumidores y proveedores
Id.: FedRAMP High SA-9 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes | Manual, Deshabilitado | 1.1.0 |
Procesamiento, almacenamiento y ubicación del servicio
Id.: FedRAMP High SA-9 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | CMA_C1593: Restringir la ubicación de los servicios, el almacenamiento y procesamiento de la información | Manual, Deshabilitado | 1.1.0 |
Administración de configuración para desarrolladores
Id.: FedRAMP High SA-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Comprobación de integridad de software o firmware
Id.: FedRAMP High SA-10 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Pruebas y evaluación de la seguridad para desarrolladores
Id.: FedRAMP High SA-11 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Protección de la cadena de suministro
Id.: FedRAMP High SA-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
Proceso de desarrollo, estándares y herramientas
Id.: FedRAMP High SA-15 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Cursos proporcionados por desarrolladores
Id.: FedRAMP High SA-16 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento a los desarrolladores de que proporcionen formación | CMA_C1611: Requerir a los desarrolladores que proporcionen formación | Manual, Deshabilitado | 1.1.0 |
Diseño y arquitectura de la seguridad para desarrolladores
Id.: FedRAMP High SA-17 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores describan la función de seguridad precisa | CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | CMA_C1614: Requerir que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | Manual, Deshabilitado | 1.1.0 |
Protección del sistema y de las comunicaciones
Directivas y procedimientos para la protección del sistema y de las comunicaciones
Id.: FedRAMP High SC-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
Creación de particiones en la aplicación
Id.: FedRAMP High SC-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separar la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usar máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
Aislamiento de la función de seguridad
Id.: FedRAMP High SC-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Protección ante la denegación de servicio
Id.: FedRAMP High SC-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Desarrollo y documentación de un plan de respuesta de DDoS | CMA_0147: Desarrollar y documentar un plan de respuesta de DDoS | Manual, Deshabilitado | 1.1.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Disponibilidad de recursos
Id.: FedRAMP High SC-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Administración de la disponibilidad y la capacidad | CMA_0356: Administrar la disponibilidad y la capacidad | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Protección de límites
Id.: FedRAMP High SC-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Los servicios de Azure Cognitive Search deben usarde vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-deprecated |
| [En desuso]: Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-en desuso |
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.0.1 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Puntos de acceso
Id.: FedRAMP High SC-7 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Los servicios de Azure Cognitive Search deben usarde vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-deprecated |
| [En desuso]: Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-en desuso |
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.0.1 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Servicios de telecomunicaciones externas
Id.: FedRAMP High SC-7 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
Impedimento de la tunelización dividida para dispositivos remotos
Id.: FedRAMP High SC-7 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impedir la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
Enrutamiento del tráfico a servidores proxy autenticados
Id.: FedRAMP High SC-7 (8) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Enrutamiento del tráfico mediante la red proxy autenticada | CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada | Manual, Deshabilitado | 1.1.0 |
Protección basada en host
Id.: FedRAMP High SC-7 (12) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico
Id.: FedRAMP High SC-7 (13) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | CMA_C1636: Aislar sistemas SecurID, sistemas de administración de incidentes de seguridad | Manual, Deshabilitado | 1.1.0 |
Error de seguridad
Id.: FedRAMP High SC-7 (18) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de transferencias entre componentes del sistema activos y en espera | CMA_0371: Administrar transferencias entre componentes del sistema activos y en espera | Manual, Deshabilitado | 1.1.0 |
Aislamiento o segregación dinámicos
Id.: FedRAMP High SC-7 (20) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que el sistema pueda aislar dinámicamente los recursos | CMA_C1638: Garantizar que el sistema pueda aislar dinámicamente los recursos | Manual, Deshabilitado | 1.1.0 |
Aislamiento de los componentes del sistema de información
Id.: FedRAMP High SC-7 (21) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
Integridad y confidencialidad de transmisión
Id.: FedRAMP High SC-8 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
| Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. | Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. | Audit, Deny, Disabled | 1.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
Protección física criptográfica o alternativa
Id.: FedRAMP High SC-8 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
| Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. | Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. | Audit, Deny, Disabled | 1.0.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
Desconexión de red
Id.: FedRAMP High SC-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autenticación de nuevo o finalización de una sesión de usuario | CMA_0421: Volver a autenticar o finalizar una sesión de usuario | Manual, Deshabilitado | 1.1.0 |
Establecimiento y administración de una clave criptográfica
Id.: FedRAMP High SC-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) | Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | El uso de claves administradas por el cliente para cifrar los datos en reposo proporciona más control sobre el ciclo de vida de las claves, incluida la rotación y la administración. Esto es especialmente relevante para las organizaciones con requisitos de cumplimiento relacionados. Esto no se evalúa de forma predeterminada y solo se debe aplicar cuando lo requieran los requisitos de directivas restrictivas o de cumplimiento. Si no está habilitado, los datos se cifrarán mediante claves administradas por la plataforma. Para implementar esto, actualice el parámetro "Effect" en la directiva de seguridad para el ámbito aplicable. | Audit, Deny, Disabled | 2.2.0 |
| Azure API for FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en Azure API for FHIR cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. | auditoría, Auditoría, deshabilitado, Deshabilitado | 1.1.0 |
| Las cuentas de Azure Automation deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de sus cuentas de Azure Automation. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| La cuenta de Azure Batch debe usar claves administradas por el cliente para cifrar los datos | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de la cuenta de Batch. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| El grupo de contenedores de la instancia de Azure Container Instances debe usar una clave administrada por el cliente para el cifrado | Proteja los contenedores con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled, Deny | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben usar una clave administrada por el cliente para cifrar la contraseña de desbloqueo del dispositivo | Use una clave administrada por el cliente para controlar el cifrado de la contraseña de desbloqueo del dispositivo para Azure Data Box. Las claves administradas por el cliente también ayudan a administrar el acceso a la contraseña de desbloqueo del dispositivo por parte del servicio Data Box para preparar el dispositivo y copiar los datos de forma automatizada. Los datos del propio dispositivo ya están cifrados en reposo con el Estándar de cifrado avanzado cifrado de 256 bits y la contraseña de desbloqueo del dispositivo se cifra de forma predeterminada con una clave administrada por Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente | Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. | Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure HDInsight deben usar claves administradas por el cliente para cifrar los datos en reposo | Utilice claves administradas por el cliente para administrar el cifrado en reposo de los clústeres de Azure HDInsight. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure HDInsight deben usar el cifrado en el host para cifrar los datos en reposo. | La habilitación del cifrado en el host ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. | Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los trabajos de Azure Stream Analytics deben usar claves administradas por el cliente para cifrar los datos | Use las claves administradas por el cliente cuando quiera almacenar de forma segura los recursos de datos privados y los metadatos de sus trabajos de Stream Analytics en la cuenta de almacenamiento. De esta forma, dispondrá de un control total sobre la forma en que se cifran los datos de Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. | Audit, Deny, Disabled | 1.0.0 |
| Bot Service se debe cifrar con una clave administrada por el cliente | Azure Bot Service cifra automáticamente el recurso para proteger sus datos y satisfacer los compromisos de cumplimiento y seguridad de la organización. De forma predeterminada, se usan claves de cifrado administradas por Microsoft. Para una mayor flexibilidad en la administración de claves o el control del acceso a su suscripción, seleccione claves administradas por el cliente, también conocidas como Bring your own key (BYOK). Más información acerca del cifrado de Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Los espacios de nombres deben usar una clave administrada por el cliente para el cifrado | Azure Event Hubs admite la opción de cifrado de datos en reposo con claves administradas por Microsoft (predeterminada) o claves administradas por el cliente. La selección del cifrado de datos mediante claves administradas por el cliente le permite asignar, rotar, deshabilitar y revocar el acceso a las claves que el centro de eventos usará para cifrar los datos en el espacio de nombres. Tenga en cuenta que el centro de eventos solo admite el cifrado con claves administradas por el cliente para los espacios de nombres en clústeres dedicados. | Audit, Disabled | 1.0.0 |
| Las cuentas de HPC Cache deben usar la clave administrada por el cliente para el cifrado | Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Disabled, Deny | 2.0.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. | Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Deny, Disabled | 1.0.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los espacios de nombres prémium de Service Bus deben usar una clave administrada por el cliente para el cifrado | Azure Service Bus permite cifrar los datos en reposo con claves administradas por Microsoft (opción predeterminada) o claves administradas por el cliente. Si decide cifrar los datos con claves administradas por el cliente, podrá asignar, rotar, deshabilitar y revocar el acceso a las claves que Service Bus utiliza para cifrar los datos en el espacio de nombres. Tenga en cuenta que Service Bus solo admite el cifrado con claves administradas por el cliente en los espacios de nombres prémium. | Audit, Disabled | 1.0.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
Disponibilidad
Id.: FedRAMP High SC-12 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
Claves simétricas
Id.: FedRAMP High SC-12 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Claves asimétricas
Id.: FedRAMP High SC-12 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
Protección criptográfica
Id.: FedRAMP High SC-13 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Dispositivos informáticos de colaboración
Id.: FedRAMP High SC-15 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Notificación explícita del uso de dispositivos informáticos con fines de colaboración | CMA_C1649: Notificar explícitamente el uso de dispositivos informáticos con fines de colaboración | Manual, Deshabilitado | 1.1.1 |
| Prohibición de la activación remota de dispositivos informáticos de colaboración | CMA_C1648: Prohibir la activación remota de dispositivos informáticos de colaboración | Manual, Deshabilitado | 1.1.0 |
Certificados de infraestructura de clave pública
Id.: FedRAMP High SC-17 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Código móvil
Id.: FedRAMP High SC-18 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control del uso de tecnologías de código móvil | CMA_C1653: Autorizar, supervisar y controlar el uso de tecnologías de código móvil | Manual, Deshabilitado | 1.1.0 |
| Definición de las tecnologías de código móvil aceptables e inaceptables | CMA_C1651: Definir las tecnologías de código móvil aceptables e inaceptables | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de restricciones de uso para las tecnologías de código móvil | CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil | Manual, Deshabilitado | 1.1.0 |
Voz sobre IP (VoIP)
Id.: FedRAMP High SC-19 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las restricciones de uso de VoIP | CMA_0280: Establecer las restricciones de uso de VoIP | Manual, Deshabilitado | 1.1.0 |
Servicio de resolución de direcciones/nombres seguro (origen de autoridad)
Id.: FedRAMP High SC-20 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
Servicio de resolución de direcciones o nombres seguro (resolución recursiva o de almacenamiento en caché)
Id.: FedRAMP High SC-21 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres
Id.: FedRAMP High SC-22 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
Autenticidad de sesión
Id.: FedRAMP High SC-23 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Aplicación de identificadores de sesión únicos aleatorios | CMA_0247: Aplicar identificadores de sesión únicos aleatorios | Manual, Deshabilitado | 1.1.0 |
Invalidación de los identificadores de sesión al cerrar sesión
Id.: FedRAMP High SC-23 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Invalidación de los identificadores de sesión al cerrar sesión | CMA_C1661: Invalidar los identificadores de sesión al cerrar sesión | Manual, Deshabilitado | 1.1.0 |
Error en estado conocido
Id.: FedRAMP High SC-24 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
Protección de la información en reposo
Id.: FedRAMP High SC-28 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los dispositivos Azure Stack Edge deben usar cifrado doble | Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for MySQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for MySQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas de Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Protección criptográfica
Id.: FedRAMP High SC-28 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los dispositivos Azure Stack Edge deben usar cifrado doble | Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for MySQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for MySQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas de Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Aislamiento de procesos
Id.: FedRAMP High SC-39 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | CMA_C1665: Mantener dominios de ejecución independientes para los procesos en ejecución | Manual, Deshabilitado | 1.1.0 |
Integridad del sistema y de la información
Procedimientos y directiva de integridad de la información y el sistema
Id.: FedRAMP High SI-1 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
Corrección de errores
Id.: FedRAMP High SI-2 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Estado de corrección de errores automatizado
Id.: FedRAMP High SI-2 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la corrección de errores | CMA_0027: Automatizar la corrección de errores | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas
Id.: FedRAMP High SI-2 (3) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de puntos de referencia para la corrección de errores | CMA_C1675: Establecer puntos de referencia para la corrección de errores | Manual, Deshabilitado | 1.1.0 |
| Medición del tiempo entre la identificación y la corrección de errores | CMA_C1674: Medir el tiempo entre la identificación y la corrección de errores | Manual, Deshabilitado | 1.1.0 |
Protección frente a código malintencionado
Id.: FedRAMP High SI-3 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Administración central
Id.: FedRAMP High SI-3 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Actualizaciones automáticas
Id.: FedRAMP High SI-3 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Detección no basada en firmas
Id.: FedRAMP High SI-3 (7) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Supervisión del sistema de información
Id.: FedRAMP High SI-4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de información de supervisión según sea necesario | CMA_C1689: Proporcionar información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Herramientas automatizadas para el análisis en tiempo real
Id.: FedRAMP High SI-4 (2) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
Tráfico de comunicaciones de entrada y salida
Id.: FedRAMP High SI-4 (4) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
Alertas generadas por el sistema
Id.: FedRAMP High SI-4 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Detección de intrusiones inalámbricas
Id.: FedRAMP High SI-4 (14) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de controles de seguridad de acceso inalámbrico | CMA_C1695: Documentar controles de seguridad de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
Servicios de red no autorizados
Id.: FedRAMP High SI-4 (22) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Indicadores de compromiso
Id.: FedRAMP High SI-4 (24) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Detección de cualquier indicador de compromiso | CMA_C1702: Descubrir cualquier indicador de compromiso | Manual, Deshabilitado | 1.1.0 |
Alertas de seguridad, avisos y directivas
Id.: FedRAMP High SI-5 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Difusión de alertas de seguridad al personal | CMA_C1705: Difundir alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de inteligencia sobre amenazas | CMA_0260: Establecer un programa de inteligencia sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Generación de alertas de seguridad internas | CMA_C1704: Generar alertas de seguridad internas | Manual, Deshabilitado | 1.1.0 |
| Implementación de directivas de seguridad | CMA_C1706: Implementar directivas de seguridad | Manual, Deshabilitado | 1.1.0 |
Alertas y advertencias automatizadas
Id.: FedRAMP High SI-5 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de mecanismos automatizados para las alertas de seguridad | CMA_C1707: Usar mecanismos automatizados para las alertas de seguridad | Manual, Deshabilitado | 1.1.0 |
Comprobación de la función de seguridad
Id.: FedRAMP High SI-6 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Comprobar las funciones de seguridad | CMA_C1708: Comprobar las funciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Integridad de la información, el firmware y el software
Id.: FedRAMP High SI-7 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Comprobaciones de integridad
Id.: FedRAMP High SI-7 (1) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Respuesta automática a infracciones de integridad
Id.: FedRAMP High SI-7 (5) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo del apagado o reinicio automático cuando se detectan infracciones | CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones | Manual, Deshabilitado | 1.1.0 |
Código ejecutable de máquina o binario
Id.: FedRAMP High SI-7 (14) Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Prohibición de código ejecutable binario o máquina | CMA_C1717: Prohibir código ejecutable binario o máquina | Manual, Deshabilitado | 1.1.0 |
Validación de la entrada de información
Id.: FedRAMP High SI-10 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de la validación de la entrada de información | CMA_C1723: Realizar la validación de la entrada de información | Manual, Deshabilitado | 1.1.0 |
Tratamiento de errores
Id.: FedRAMP High SI-11 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Generación de mensajes de error | CMA_C1724: Generar mensajes de error | Manual, Deshabilitado | 1.1.0 |
| Muestra de mensajes de error | CMA_C1725: Mostrar mensajes de error | Manual, Deshabilitado | 1.1.0 |
Control y retención de la información
Id.: FedRAMP High SI-12 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Protección de la memoria
Id.: FedRAMP High SI-16 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.