Línea base de seguridad de Azure para Data Factory
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Data Factory. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Data Factory.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Data Factory. Para ver cómo Data Factory se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Data Factory.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Data Factory, lo que puede dar lugar a un aumento de las consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Análisis, integración |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena el contenido del cliente en reposo | True |
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure-SSIS Integration Runtime admite la inserción de red virtual en la red virtual del cliente. Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permitirá a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o que Azure Data Factory cree una. El entorno de ejecución de integración (IR) autohospedado se puede configurar en una máquina virtual IaaS dentro de la red virtual del cliente. El tráfico de red también se rige por la configuración de NSG y firewall del cliente.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Unión de Integration Runtime de SSIS de Azure a una red virtual
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure-SSIS Integration Runtime admite la inserción de red virtual en la red virtual del cliente. Se rige por todas las reglas de firewall y NSG establecidas por el cliente en su red virtual. Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permitirá a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o que Azure Data Factory cree una. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso.
El entorno de ejecución de integración (IR) autohospedado se puede configurar en una máquina virtual IaaS dentro de la red virtual del cliente. El tráfico de red también se rige por la configuración de NSG y firewall del cliente.
En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, puede ser una regla muy segura que deniegue el acceso de forma predeterminada.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Unión de Integration Runtime de SSIS de Azure a una red virtual
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía adicional: puede configurar puntos de conexión privados en Azure Data Factory managed Virtual Network para conectarse a almacenes de datos de forma privada.
Data Factory no permite configurar puntos de conexión de servicio de red virtual.
Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permite a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o que Azure Data Factory cree una. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso. Puede implementar IR autohospedados en una máquina del entorno local o en una máquina virtual de Azure dentro de una red virtual. Asegúrese de que la implementación de la subred de la red virtual tenga un grupo de seguridad de red configurado para permitir únicamente el acceso de los administradores. Como medida de protección, Azure-SSIS IR no permite la salida por el puerto 3389 de forma predeterminada en la regla de Firewall de Windows de cada nodo de IR. Puede proteger los recursos configurados por la red virtual mediante la asociación de un NSG con la subred y el establecimiento de reglas estrictas.
Referencia: Azure Private Link para Azure Data Factory
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de la característica: Deshabilitar el acceso a la red pública solo se aplica a Self-Hosted Integration Runtime (SHIR) y no a Azure IR o SSIS IR. Con SHIR, la habilitación de la factoría de datos private link no bloquea explícitamente el acceso público, pero el cliente puede bloquear el acceso público manualmente.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Azure Private Link para Azure Data Factory
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Data Factory puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Identidad administrada para Azure Data Factory
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: puede usar autenticación de Windows para acceder a orígenes de datos desde paquetes SSIS que se ejecutan en azure-SSIS Integration Runtime (IR). Los almacenes de datos pueden estar en el entorno local, hospedarse en Azure Virtual Machines (VM) o ejecutarse en Azure como servicios administrados. Sin embargo, se recomienda evitar el uso de la autenticación local y el uso de Azure AD siempre que sea posible. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: de forma predeterminada, al crear una factoría de datos a través de Azure Portal o PowerShell, la identidad administrada se creará automáticamente. Con el SDK o la API REST, la identidad administrada solo se creará si el usuario especifica explícitamente la palabra clave "identity".
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Identidad administrada para Azure Data Factory y Azure Synapse
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Data Factory permite usar identidades administradas, principios de servicio para autenticarse en almacenes de datos y proceso que admiten la autenticación de AAD.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: puede almacenar credenciales para almacenes de datos y procesos en una instancia de Azure Key Vault. Azure Data Factory las recupera al ejecutar una actividad que usa el almacén de datos o el proceso.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Data Factory se integra con Azure RBAC para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal.
Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.
Use roles integrados para conceder permisos. Cree roles personalizados únicamente cuando sea necesario.
Puede crear un rol personalizado en Azure AD con un acceso más restrictivo a Data Factory.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Roles y permisos para Azure Data Factory
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Caja de seguridad del cliente para Microsoft Azure
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Conexión de Data Factory a Microsoft Purview
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida y pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Consideraciones de seguridad para el movimiento de datos en Azure Data Factory
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de Azure Data Factory con claves administradas por el cliente
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Cifrado de Azure Data Factory con claves administradas por el cliente
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: use Azure Policy para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. Use Azure Resource Graph para consultar y detectar recursos en las suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Azure Policy definiciones integradas para Data Factory
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: IR autohospedado (SHIR) que se ejecuta en máquinas virtuales y contenedores de Azure, usa Defender para establecer la configuración segura.
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: los registros de actividad están disponibles automáticamente. Puede usar registros de actividad para buscar errores durante la solución de problemas o para supervisar cómo han modificado los recursos los usuarios de su organización.
Para habilitar los registros de recursos y la recopilación de datos de registro, use Microsoft Defender for Cloud y Azure Policy.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Configuración de diagnóstico en Azure Monitor
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: para realizar una copia de seguridad de todo el código en Azure Data Factory, use la funcionalidad de control de código fuente en Data Factory.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Control de código fuente en Azure Data Factory
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.