Detalles de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark 1.4.0
En el siguiente artículo se detalla la correspondencia entre la definición de la iniciativa integrada del cumplimiento normativo de Azure Policy y los dominios de cumplimiento y los controles de CIS Microsoft Azure Foundations Benchmark 1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark 1.4.0. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de CIS Microsoft Azure Foundations Benchmark 1.4.0. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark 1.4.0.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
1 Administración de identidades y acceso
Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios con privilegios
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.10 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.11 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.12 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.13 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.14 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.15 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.16 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.17 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.18 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.19 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios sin privilegios
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.20 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.21 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.22 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que los usuarios invitados se revisen mensualmente
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la opción "Restaurar la autenticación multifactor en todos los dispositivos recordados" está habilitada
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
Satisfacer los requisitos de calidad del token | CMA_0487: Satisfacer los requisitos de calidad del token | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.8 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.9 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
2 Microsoft Defender for Cloud
Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.10 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Garantía de que el aprovisionamiento automático del "agente de Log Analytics para máquinas virtuales de Azure" está establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.11 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.12 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la opción "Direcciones de correo electrónico adicionales" esté configurada con un correo electrónico de contacto de seguridad
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.13 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Asegurarse de que la opción "Notificar sobre alertas con la siguiente gravedad" esté establecida en "Alto"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.14 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.8 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 2.9 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
3 Cuentas de almacenamiento
Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.10 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.11 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "versión mínima de TLS" esté establecida en "Versión 1.2"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.12 Propiedad: compartida
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
Finalizar sesión de usuario automáticamente | CMA_C1054: Finalizar la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la regla de acceso a la red predeterminada para las cuentas de almacenamiento esté establecida en denegar
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza | Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.9 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
4 Servicios de base de datos
Asegúrese de que la opción "Auditando" esté establecida en "Activada".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.1 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.2 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
Asegúrese de que la retención de "Auditoría" sea "más de 90 días".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.3 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
Asegurarse de que la Protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.1 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Asegurarse de que la configuración de VA "Exámenes periódicos" está establecida en "activado" para cada servidor SQL Server
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la configuración de VA "Enviar informes de examen a" está configurada para un servidor SQL Server
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la configuración de evaluación de vulnerabilidades "Enviar también notificaciones por correo electrónico a administradores y propietarios de suscripciones" está establecida para cada SQL Server
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.2 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.3 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.4 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL. | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.5 Propiedad: Compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
La limitación de conexiones debe estar habilitada para los servidores de bases de datos PostgreSQL | Esta directiva permite realizar una auditoría de las bases de datos de PostgreSQL del entorno sin la limitación de conexiones habilitada. Esta configuración habilita la limitación de conexiones temporales por IP si hay demasiados errores de inicio de sesión con una contraseña no válida. | AuditIfNotExists, Disabled | 1.0.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.8 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.4.1 Propiedad: compartida
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.4.2 Propiedad: compartida
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que el administrador de Azure Active Directory está configurado.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
5 Registro y supervisión
Asegurarse de que existe un "Valor de diagnóstico"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave).
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
Mantener la integridad del sistema de auditoría | CMA_C1133: Mantener la integridad del sistema de auditoría | Manual, Deshabilitado | 1.1.0 |
Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Asegúrese de que el registro de Azure KeyVault esté habilitado.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.8 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.9 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
6 Redes
Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP).
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días"
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que Network Watcher está "Habilitado".
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
Comprobar las funciones de seguridad | CMA_C1708: Comprobar las funciones de seguridad | Manual, Deshabilitado | 1.1.0 |
7 Máquinas virtuales
Asegúrese de que Virtual Machines esté utilizando Managed Disks.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK)
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que los discos no conectados estén cifrados con CMK
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que solo estén instaladas las extensiones aprobadas
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Solo deben instalarse las extensiones de máquina virtual aprobadas | Esta directiva rige las extensiones de máquina virtual que no están aprobadas. | Audit, Deny, Disabled | 1.0.0 |
Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que VHD está cifrado
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
8 Otras consideraciones de seguridad
Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que se han establecido los bloqueos de recursos para recursos de Azure de misión crítica
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que el almacén de claves se puede recuperar.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.6 Propiedad: compartida
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.7 Propiedad: compartida
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.4 |
9 AppService
Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.1 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service deben tener activada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. | AuditIfNotExists, Disabled | 2.0.1 |
Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
Las aplicaciones de funciones deben tener habilitada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. | AuditIfNotExists, Disabled | 3.0.0 |
Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que las implementaciones de FTP están deshabilitadas
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.10 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que se usan Azure Keyvaults para almacenar secretos
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.11 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | CMA_C1199: Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | Manual, Deshabilitado | 1.1.0 |
Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.2 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.3 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.4 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. | Audit, Disabled | 3.1.0 en desuso |
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service.
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.5 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.6 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.7 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.8 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web
Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.9 Propiedad: compartido
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.