Llegamos a ustedes gracias a:



Reportajes y análisis

Azure Security Benchmark v2: Lo que necesita saber

[31/10/2020] Azure Security Benchmark v2 recientemente publicado por Microsoft le permite mapear los mismos puntos de referencia que usa para su tecnología on premises. Los puntos de referencia para ambos Privacy Controls for Federal Information Systems and Organizations CIS Controls v7 y NIST SP800-53 r4 pronto se alineará con los puntos de referencia de seguridad de Azure. Esto proporcionará una vista consolidada de las recomendaciones de seguridad de Azure de Microsoft.

La revisión de los marcos de trabajo, así como de los marcos de referencia de Azure, le dará una imagen más clara de su posición de seguridad de Azure. Le recomiendo que los revise incluso si no pertenece a una industria regulada. Estas mejores prácticas pueden contribuir, en gran medida, a mantener su seguridad.

Qué incluye Azure Security Benchmark v2

  • Seguridad de la red: Cubre los controles para asegurar y proteger las redes de Azure, asegurar las redes virtuales, las conexiones privadas, evitar y mitigar los ataques externos y asegurar el DNS. Esto está cerca de la seguridad de la red física y de hardware en una red local típica.
  • Gestión de la identidad: La nueva ventaja de seguridad en la nube es la identidad. Esto incluye controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory (AD). También cubre el uso de inicio de sesión único (SSO, por sus siglas en inglés), autenticaciones sólidas, identidades administradas (y principios de servicio) para aplicaciones, acceso condicional y monitoreo de anomalías de cuentas.
  • Acceso privilegiado: Proteger a sus administradores es una parte clave de la protección, tanto en la nube como on premises. El acceso privilegiado cubre los controles para proteger los recursos y el acceso privilegiado a su tenant en Azure, incluida la protección de su modelo administrativo, cuentas administrativas y estaciones de trabajo de acceso privilegiado contra riesgos deliberados e inadvertidos.
  • Protección de datos: Especialmente en esta nueva era de trabajo remoto, los datos se pueden almacenar en cualquier lugar. La protección de datos cubre el control de la protección de datos en reposo, en tránsito y mediante mecanismos de acceso autorizados, que incluyen descubrir, clasificar, proteger y monitorear activos de datos confidenciales mediante el control de acceso, el cifrado y el registro en Azure.
  • Gestión de activos: Mantener el control de los activos garantiza la visibilidad de la seguridad, así como la gobernanza de los recursos de Azure, incluyendo las recomendaciones sobre permisos para el personal de seguridad, acceso de seguridad al inventario de activos y gestión de aprobaciones de servicios y recursos (inventario, seguimiento y corrección).
  • Registro y detección de amenazas: A menudo, el registro se pasa por alto en las redes on premises y en la nube. En Azure, esto incluye habilitar, recolectar y almacenar registros de auditoría para servicios de Azure, como habilitar procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativas en los servicios de Azure. Azure Sentinel (el producto de registro basado en la nube de Microsoft), la sincronización de tiempo y la retención de registros son elementos clave.
  • Respuesta a incidentes: El ciclo de vida de la respuesta a incidentes (preparación, detección y análisis, contención y actividades posteriores al incidente) a menudo se pasan por alto en el afán por volver a poner una empresa en línea. Incluye Azure Security Center y Sentinel para automatizar el proceso de respuesta a incidentes.
  • Gestión de la posición y la vulnerabilidad: El monitoreo continuo, que incluye el escaneo de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento, la generación de informes y la corrección de la configuración de seguridad en los recursos de Azure, es clave para los recursos de nube seguros.
  • Seguridad de terminales: Esto incluye detección y respuesta de terminales (EDR, por sus siglas e inglés), que abarca el uso de EDR y servicio antimalware para terminales en ambientes de Azure.
  • Backup y recuperación: Esto incluye controles para garantizar que los backups de los datos y la configuración en los diferentes niveles de servicio se realicen, validen y protejan.
  • Gobernanza y estrategia: Incluye una estrategia de políticas y estándares, como el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y políticas y estándares de apoyo.

En los próximos meses, los requisitos de control de PCI DSS se incluirán en el mapeo de marcos de referencia de seguridad de Azure.

Cómo utilizar Azure Security Benchmark v2

Para comenzar a revisar los marcos de referencia, descargue la hoja de cálculo de Excel que muestra la asignación a los controles NIST. Azure Security Center tiene la versión v1 del marco de referencia, por defecto, en su panel de cumplimiento normativo. Pronto, el nuevo marco de referencia v2 figurará por defecto.

Revisión de los controles de mapeo de referencia.
Azure Security Benchmark v2

Actualmente, Azure CIS 1.1.0 se encuentra disponible de manera predeterminada. Para revisar el panel de cumplimiento normativo, necesita una licencia de Azure Defender. Puede elegir estándares regulatorios adicionales yendo al Azure Security Center y seleccionando "Cumplimiento Regulatorio. Luego haga clic en "Administrar políticas de cumplimiento. Elija su suscripción de Azure y luego haga clic en "Agregar más estándares. Desde aquí, puede elegir estándares como NIST SP800-53 r4 Security and Privacy Controls for Federal Information Systems and Organizations.

Azure Security Benchmark v2

Microsoft tiene plantillas llamadas "zona de aterrizaje para implementar los puntos de referencia de manera fácil y confiable. Puede revisar la plantilla primero en GitHub antes de implementar la plantilla en sus activos de Azure.

Para comenzar, asegúrese de tener ciertos derechos en su tenant de Azure antes de implementar las plantillas. Es posible que deba conectarse a PowerShell o Azure Cloud Shell para comprobar qué derechos tiene. Abra Azure AD. En "Administrar, seleccione "Propiedades. En "Administración de acceso para recursos de Azure, establezca el interruptor en ". En Azure Cloud Shell, conceda acceso al usuario administrador y al ámbito raíz.

#get object Id of the user
$user = Get-AzADUser -UserPrincipalName <user>@<azuredomain>
#Assign Owner role to Tenant root scope ("/") as a User Access Administrator
New-AzRoleAssignment -Scope '/' -RoleDefinitionName 'Owner' -ObjectId $user.Id

Una vez que tenga los permisos adecuados, comience el proceso para implementar la plantilla en su suscripción. En la página del marco, haga clic en "Implementar en Azure. A continuación, el portal abre la pestaña "Implementación. Seguidamente, seleccione el tenant correcto y la región que desea elegir para implementar los recursos.

A continuación, asigne un prefijo de grupo de gestión. Este valor debe tener de uno a cinco caracteres. En la siguiente sección, "Gestión, seguridad y gobernanza de la plataforma, seleccione los valores predeterminados que desea implementar. Las selecciones incluyen habilitar el espacio de trabajo de analítica de registros para una retención de 30 días. Puede optar por implementar soluciones para el estado de los agentes, el seguimiento de cambios, la gestión de actualizaciones, el registro de actividad, la información de VM, antimalware, mapa de servicios y evaluación de SQL. Luego, puede optar por implementar Azure Security Center y habilitar la supervisión. Debe elegir entre niveles estándar o gratuitos.

El nivel gratuito de Azure Security Center le permite realizar evaluaciones continuas y recomendaciones de seguridad y revisar la puntuación segura de Azure. El nivel estándar agrega acceso a máquinas virtuales justo a tiempo, controles de aplicaciones adaptables y fortalecimiento de la red, paneles e informes de cumplimiento normativo, protección contra amenazas para máquinas virtuales de Azure y servidores que no son de Azure (incluido el servidor EDR), protección contra amenazas para los servicios PaaS y Microsoft Defender para Endpoint (servidores). Revise los costos en la página de la calculadora de Microsoft.