Base de referencia de seguridad de Azure para Azure Firewall

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Firewall. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Firewall.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Oharra

Se han excluido las características no aplicables a Azure Firewall. Para ver cómo Azure Firewall se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad Azure Firewall.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Firewall, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio	Value
Categoría de productos	Redes, seguridad
El cliente puede acceder a HOST/OS.	Sin acceso
El servicio se puede implementar en la red virtual del cliente.	True
Almacena contenido de cliente en reposo	True

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	True	Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Tutorial: Protección de la red virtual del centro de conectividad mediante Azure Firewall Manager

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Notas de características: Azure Firewall es un servicio administrado con varias capas de protección, incluida la protección de plataforma con NSG de nivel de NIC (no visible). Los NSG no son obligatorios en AzureFirewallSubnet y están deshabilitados para garantizar que no se produzcan interrupciones en el servicio.

Guía de configuración: esta característica no se admite para proteger este servicio.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las subredes deben estar asociadas con un grupo de seguridad de red.	Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred.	AuditIfNotExists, Disabled	3.0.0

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Notas de características: Aunque no se admiten identidades administradas para otros servicios que acceden a Azure Firewall, se usa una identidad administrada para Azure Firewall para autenticarse y recuperar certificados de Azure Key Vault.

Guía de configuración: esta característica no se admite para proteger este servicio.

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de Administración locales

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida y pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	False	Customer

Notas de características: el cliente puede habilitar la inspección de TLS para el tráfico que transita a través de Azure Firewall, lo que crea dos conexiones TLS dedicadas: una con el servidor web (contoso.com) y otra conexión con el cliente.

El cliente también puede configurar la directiva de firewall para permitir solo el tráfico cifrado.

Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Referencia: características de Azure Firewall Premium

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	True	Microsoft

Notas de características: Azure Firewall genera certificados derivados del certificado de cliente en Key Vault cifrado. Los certificados derivados se cifran mediante claves de plataforma en el back-end.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para los certificados de cliente. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	False	Customer

Notas de características: para la inspección de TLS, Azure Firewall requiere que los clientes usen Key Vault para proporcionar el certificado intermedio que se usa para generar certificados de servidor de punto de conexión en la ruta de acceso de datos.

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, la importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez demasiado largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen rotando mediante métodos manuales en Azure Key Vault y la aplicación.

Nota: se recomienda Key Vault al almacenar certificados para Azure Firewall Premium.

Referencia: certificados Azure Firewall Premium

Administración de recursos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	False	Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar la configuración segura en los recursos de Azure.

Referencia: Azure Policy definiciones de directivas integradas: red

Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
True	False	Customer

Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.

Referencia: Supervisión de registros y métricas de Azure Firewall

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible	Habilitado de forma predeterminada	Responsabilidad de configuración
False	No es aplicable	No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes

• Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
• Obtenga más información sobre las líneas de base de seguridad de Azure.