Compartir por


Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2 (Azure Government)

En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles en Controles de sistema y organización (SOC) 2 (Azure Government). Para obtener más información sobre este estándar de cumplimiento, consulte Controles de sistema y organización (SOC) 2. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.

Las siguientes asignaciones son para los controles de Controles de sistema y organización (SOC) 2. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de iniciativa integrada de cumplimiento normativo de SOC 2 tipo 2.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

Criterios adicionales para la disponibilidad

Administración de capacidad

Id.: SOC 2 tipo 2 A1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización del planeamiento de capacidad CMA_C1252: Realizar el planeamiento de capacidad Manual, Deshabilitado 1.1.0

Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación

Id.: SOC 2 tipo 2 A1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Uso de iluminación de emergencia automática CMA_0209: Usar iluminación de emergencia automática Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Recuperación y reconstrucción de los recursos después de una interrupción CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción Manual, Deshabilitado 1.1.1
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0

Pruebas del plan de recuperación

Id.: SOC 2 tipo 2 A1.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Inicio de acciones correctivas para probar el plan de contingencia CMA_C1263: Iniciar acciones correctivas para probar el plan de contingencia Manual, Deshabilitado 1.1.0
Revisión de los resultados de las pruebas del plan de contingencia CMA_C1262: Revisar los resultados de las pruebas del plan de contingencia Manual, Deshabilitado 1.1.0
Prueba del plan de continuidad empresarial y recuperación ante desastres CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0

Criterios adicionales para la confidencialidad

Protección de información confidencial

Id.: SOC 2 tipo 2 C1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

Eliminación de información confidencial

Id.: SOC 2 tipo 2 C1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

Entorno de control

Principio 1 de COSO

Id.: SOC 2 tipo 2 CC1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

Principio 2 de COSO

Id.: SOC 2 tipo 2 CC1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

Principio 3 de COSO

Id.: SOC 2 tipo 2 CC1.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

Principio 4 de COSO

Id.: SOC 2 tipo 2 CC1.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0

Principio 5 de COSO

Id.: SOC 2 tipo 2 CC1.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0

Comunicación e información

Principio 13 de COSO

Id.: SOC 2 tipo 2 CC2.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

Principio 14 de COSO

Id.: SOC 2 tipo 2 CC2.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1

Principio 15 de COSO

Id.: SOC 2 tipo 2 CC2.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1

Evaluación de riesgos

Principio 6 de COSO

Id.: SOC 2 tipo 2 CC3.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Clasificación de la información CMA_0052: Clasificar la información Manual, Deshabilitado 1.1.0
Determinación de las necesidades de protección de la información CMA_C1750: Determinar las necesidades de protección de la información Manual, Deshabilitado 1.1.0
Desarrollo de esquemas de clasificación empresarial CMA_0155: Desarrollar esquemas de clasificación empresarial Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

Principio 7 de COSO

Id.: SOC 2 tipo 2 CC3.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Clasificación de la información CMA_0052: Clasificar la información Manual, Deshabilitado 1.1.0
Determinación de las necesidades de protección de la información CMA_C1750: Determinar las necesidades de protección de la información Manual, Deshabilitado 1.1.0
Desarrollo de esquemas de clasificación empresarial CMA_0155: Desarrollar esquemas de clasificación empresarial Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 3.0.0

Principio 8 de COSO

Id.: SOC 2 tipo 2 CC3.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

Principio 9 de COSO

Id.: SOC 2 tipo 2 CC3.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

Actividades de supervisión

Principio 16 de COSO

Id.: SOC 2 tipo 2 CC4.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0

Principio 17 de COSO

Id.: SOC 2 tipo 2 CC4.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Entregar los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0

Actividades de control

Principio 10 de COSO

Id.: SOC 2 tipo 2 CC5.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

Principio 11 de COSO

Id.: SOC 2 tipo 2 CC5.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0

Principio 12 de COSO

Id.: SOC 2 tipo 2 CC5.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de la lista de permitidos para la detección CMA_0068: Configurar la lista de permitidos para la detección Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

Controles de acceso lógicos y físicos

Software, infraestructura y arquitecturas de seguridad de acceso lógico

Id.: SOC 2 tipo 2 CC6.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.4.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) El uso de claves administradas por el cliente para cifrar los datos en reposo proporciona más control sobre el ciclo de vida de las claves, incluida la rotación y la administración. Esto es especialmente relevante para las organizaciones con requisitos de cumplimiento relacionados. Esto no se evalúa de forma predeterminada y solo se debe aplicar cuando lo requieran los requisitos de directivas restrictivas o de cumplimiento. Si no está habilitado, los datos se cifrarán mediante claves administradas por la plataforma. Para implementar esto, actualice el parámetro "Effect" en la directiva de seguridad para el ámbito aplicable. Audit, Deny, Disabled 2.2.0
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Los registros de contenedor deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Los almacenes de claves deben tener habilitada la protección contra eliminación La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. Audit, Deny, Disabled 2.1.0
Los almacenes de claves deben tener habilitada la eliminación temporal Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. Audit, Deny, Disabled 3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. Audit, Deny, Disabled 1.1.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.1
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Disabled 1.0.3
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 3.0.1

Acceso al aprovisionamiento y eliminación

Id.: SOC 2 tipo 2 CC6.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0

Acceso basado en roles y privilegios mínimos

Id.: SOC 2 tipo 2 CC6.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el uso de roles RBAC personalizados Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.1
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.4
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

Acceso físico restringido

Id.: SOC 2 tipo 2 CC6.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

Protecciones lógicas y físicas sobre recursos físicos

Id.: SOC 2 tipo 2 CC6.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0

Medidas de seguridad contra amenazas fuera de los límites del sistema

Id.: SOC 2 tipo 2 CC6.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.4.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.2
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 3.0.1

Restringir el movimiento de información a usuarios autorizados

Id.: SOC 2 tipo 2 CC6.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 3.0.1

Evitar o detectar software no autorizado o malintencionado

Id.: SOC 2 tipo 2 CC6.8 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. Audit, Disabled 3.1.0 en desuso
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. Audit, Disabled 1.0.2
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada. La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
La extensión "Configuración de invitado" debe estar instalada en las máquinas. Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
No permitir contenedores con privilegios en el clúster de Kubernetes No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.5.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Solo deben instalarse las extensiones de máquina virtual aprobadas Esta directiva rige las extensiones de máquina virtual que no están aprobadas. Audit, Deny, Disabled 1.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. Audit, Deny, Disabled 1.0.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.0.0

Operaciones del sistema

Detección y supervisión de nuevas vulnerabilidades

Id.: SOC 2 tipo 2 CC7.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Habilitación de la detección de dispositivos de red CMA_0220: Habilitar la detección de dispositivos de red Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 3.0.0

Supervisión de componentes del sistema para un comportamiento anómalo

Id.: SOC 2 tipo 2 CC7.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 3.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Azure Defender para servidores de Azure SQL Database Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. AuditIfNotExists, Disabled 1.0.2
Se debe habilitar Azure Defender para Resource Manager Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas Auditoría de los servidores de SQL sin Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Microsoft Defender para contenedores debería estar habilitado Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender para Storage (Clásico) debe estar habilitado Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. AuditIfNotExists, Disabled 1.0.4
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 1.1.1

Detección de incidentes de seguridad

Id.: SOC 2 tipo 2 CC7.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0

Respuesta a incidentes de seguridad

Id.: SOC 2 tipo 2 CC7.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Inclusión de reconfiguración dinámica de recursos implementados por el cliente CMA_C1364: Incluir la reconfiguración dinámica de los recursos implementados por el cliente Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

Recuperación de incidentes de seguridad identificados

Id.: SOC 2 tipo 2 CC7.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones CMA_C1368: Coordinar con las organizaciones externas para lograr una perspectiva entre organizaciones Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.0.1
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.0.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

Administración de cambios

Cambios en la infraestructura, los datos y el software

Id.: SOC 2 tipo 2 CC8.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. Audit, Disabled 3.1.0 en desuso
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. Audit, Disabled 1.0.2
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada. La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
La extensión "Configuración de invitado" debe estar instalada en las máquinas. Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
No permitir contenedores con privilegios en el clúster de Kubernetes No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.5.0
Solo deben instalarse las extensiones de máquina virtual aprobadas Esta directiva rige las extensiones de máquina virtual que no están aprobadas. Audit, Deny, Disabled 1.0.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. Audit, Deny, Disabled 1.0.0
La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 1.0.0

Mitigación de riesgos

Actividades de mitigación de riesgos

Id.: SOC 2 tipo 2 CC9.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las necesidades de protección de la información CMA_C1750: Determinar las necesidades de protección de la información Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

Administración de riesgos de proveedores y asociados comerciales

Id.: SOC 2 tipo 2 CC9.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Divulgar los registros de información de identificación personal a terceros CMA_0422: Divulgar los registros de información de identificación personal a terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0

Criterios adicionales de privacidad

Aviso de privacidad

Id.: SOC 2 tipo 2 P1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar y distribuir una directiva de privacidad CMA_0188: Documentar y distribuir una directiva de privacidad Manual, Deshabilitado 1.1.0
Asegurarse de que la información del programa de privacidad esté disponible de manera pública CMA_C1867: Asegurarse de que la información del programa de privacidad esté disponible de manera pública Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Provisión de un aviso de privacidad al público y a las personas CMA_C1861 - Proporcionar aviso de privacidad a la gente y a las personas Manual, Deshabilitado 1.1.0

Id.: SOC 2 tipo 2 P2.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0

Recopilación coherente de información personal

Id.: SOC 2 tipo 2 P3.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinar la autoridad jurídica para recopilar DCP CMA_C1800 : determinar la autoridad legal para recopilar DCP Manual, Deshabilitado 1.1.0
Documentación del proceso para garantizar la integridad de la información de identificación personal CMA_C1827: Proceso de documento para garantizar la integridad de la información de identificación personal Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0

Id.: SOC 2 tipo 2 P3.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Recopilar la información de identificación personal directamente de la persona CMA_C1822: recopilar la información de identificación personal directamente de la persona Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0

Uso de información personal

Id.: SOC 2 tipo 2 P4.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0

Retención de información personal

Id.: SOC 2 tipo 2 P4.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Documentación del proceso para garantizar la integridad de la información de identificación personal CMA_C1827: Proceso de documento para garantizar la integridad de la información de identificación personal Manual, Deshabilitado 1.1.0

Eliminación de información personal

Id.: SOC 2 tipo 2 P4.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

Acceso a la información personal

Id.: SOC 2 tipo 2 P5.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementar los métodos para las solicitudes del consumidor CMA_0319: Implementar los métodos para las solicitudes del consumidor Manual, Deshabilitado 1.1.0
Publicar reglas y normativas que accedan a los registros de la Ley de privacidad CMA_C1847: Publicar reglas y normativas que accedan a los registros de la Ley de privacidad Manual, Deshabilitado 1.1.0

Corrección de información personal

Id.: SOC 2 tipo 2 P5.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Responder a solicitudes de rectificación CMA_0442: responder a solicitudes de rectificación Manual, Deshabilitado 1.1.0

Divulgación de información personal de terceros

Id.: SOC 2 tipo 2 P6.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Establecer los requisitos de privacidad para los contratistas y proveedores de servicios CMA_C1810: Establecer los requisitos de privacidad para los contratistas y proveedores de servicios Manual, Deshabilitado 1.1.0
Divulgar los registros de información de identificación personal a terceros CMA_0422: Divulgar los registros de información de identificación personal a terceros Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0

Divulgación autorizada del registro de información personal

Id.: SOC 2 tipo 2 P6.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Mantenimiento de una contabilidad precisa de las divulgaciones de información CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información Manual, Deshabilitado 1.1.0

Divulgación no autorizada del registro de información personal

Id.: SOC 2 tipo 2 P6.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Mantenimiento de una contabilidad precisa de las divulgaciones de información CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información Manual, Deshabilitado 1.1.0

Contratos de terceros

Id.: SOC 2 tipo 2 P6.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0

Notificación de divulgación no autorizada de terceros

Id.: SOC 2 tipo 2 P6.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0

Notificación de incidentes de privacidad

Id.: SOC 2 tipo 2 P6.6 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0

Contabilización de divulgación de información personal

Id.: SOC 2 tipo 2 P6.7 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Mantenimiento de una contabilidad precisa de las divulgaciones de información CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información Manual, Deshabilitado 1.1.0
Disponibilidad a petición de la contabilidad de las divulgaciones CMA_C1820: Facilitar la contabilidad de las divulgaciones cuando se solicite Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0

Calidad de la información personal

Id.: SOC 2 tipo 2 P7.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Confirmación de la calidad y la integridad de DCP CMA_C1821: Confirmación de la calidad y la integridad de DCP Manual, Deshabilitado 1.1.0
Emisión de guías para garantizar la calidad y la integridad de los datos CMA_C1824: Enviar instrucciones para garantizar la calidad e integridad de los datos Manual, Deshabilitado 1.1.0
Comprobar la información de identificación personal inexacta u obsoleta CMA_C1823: comprobar la información de identificación personal inexacta u obsoleta Manual, Deshabilitado 1.1.0

Administración de reclamaciones de privacidad y administración de cumplimiento

Id.: SOC 2 tipo 2 P8.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar e implementar procedimientos de quejas de privacidad CMA_0189: Documentar e implementar los procedimientos de quejas de privacidad Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0
Responder a las reclamaciones, preocupaciones o preguntas de manera oportuna CMA_C1853: responder a las reclamaciones, preocupaciones o preguntas de manera oportuna Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0

Criterios adicionales para procesar la integridad

Definiciones de procesamiento de datos

Id.: SOC 2 tipo 2 PI1.1 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0

Entradas del sistema sobre integridad y precisión

Id.: SOC 2 tipo 2 PI1.2 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de la validación de la entrada de información CMA_C1723: Realizar la validación de la entrada de información Manual, Deshabilitado 1.1.0

Procesamiento del sistema

Id.: SOC 2 tipo 2 PI1.3 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Generación de mensajes de error CMA_C1724: Generar mensajes de error Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Realización de la validación de la entrada de información CMA_C1723: Realizar la validación de la entrada de información Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

La salida del sistema es completa, precisa y de manera oportuna

Id.: SOC 2 tipo 2 PI1.4 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

Almacenar entradas y salidas de manera completa, precisa y oportuna

Id.: SOC 2 tipo 2 PI1.5 Propiedad: compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy: