Compartir a través de


Base de referencia de seguridad de Azure para Azure DevTest Labs

Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure DevTest Labs. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure DevTest Labs.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Azure DevTest Labs. Para ver cómo Azure DevTest Labs se asignan completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad Azure DevTest Labs.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure DevTest Labs, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Value
Categoría de productos Proceso, Herramientas de desarrollo, integración
El cliente puede acceder a HOST/OS. Acceso total
El servicio se puede implementar en la red virtual del cliente. True
Almacena contenido de cliente en reposo False

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Configuración de una red virtual para DevTest Labs

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.

NS-2: Servicios en la nube seguros con controles de red

Características

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.

Referencia: Creación de DevTest Labs aislado de red

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Azure DevTest Labs admite identidades administradas para sus recursos de Azure, así como la administración de secretos a través del almacén de claves. DevTest Labs puede usar de forma nativa la autenticación de Azure AD para los servicios y recursos de Azure que lo admiten. Esto se admite desde Azure Portal, mediante los SDK o la API rest, cuando el usuario interactúa o crea un devTest Lab o cualquiera de los recursos admitidos en un laboratorio.

Habilitar identidades administradas asignadas por el usuario en máquinas virtuales de laboratorio en Azure DevTest Labs

Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: API rest de Azure DevTest Labs

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: la autenticación predeterminada para las máquinas virtuales es la autenticación local (RDP/SSH). Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: aunque no proporcionamos un plano de datos para nuestro servicio, nuestros recursos admiten identidades administradas.

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Referencia: Habilitación de identidades administradas asignadas por el usuario en máquinas virtuales de laboratorio en DevTest Labs

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios pueden configurar entidades de servicio por su cuenta para acceder a los recursos del laboratorio.

Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Azure DevTest Labs permite a los usuarios administrar e implementar máquinas virtuales de Azure en sus propias suscripciones y esas máquinas virtuales pueden admitir el acceso condicional si es necesario, en función del escenario del cliente.

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión peligroso o requerir dispositivos administrados por la organización para aplicaciones específicas.

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los secretos de DevTest Lab se almacenan de forma segura en una Key Vault de Azure en la suscripción del cliente. Este servicio lo usa para interactuar con cualquier recurso de Azure dentro del laboratorio.

También puede habilitar identidades administradas en las máquinas virtuales de laboratorio para autenticarse en recursos en el contexto de un laboratorio.

Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.

Referencia: Habilitación de identidades administradas asignadas por el usuario en máquinas virtuales de laboratorio en Azure DevTest Labs

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de Administración locales

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: los usuarios de la máquina de laboratorio pueden ser Administración locales de las máquinas virtuales.

Guía de configuración: esta característica no se admite para proteger este servicio.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Azure DevTest Labs ha integrado la compatibilidad con RBAC de Azure para todos nuestros recursos a través de los roles integrados.

Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.

Referencia: Usuarios de DevTest Labs

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Protección de los datos

Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida y pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Descripción del cifrado en el escenario de tránsito para DevTest Labs

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: en DevTest Labs, todos los discos del sistema operativo y los discos de datos creados como parte de un laboratorio se cifran mediante claves administradas por la plataforma.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.

Referencia: Almacenamiento de secretos en un almacén de claves en Azure DevTest Labs

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Azure DevTest Labs permite a los usuarios administrar e implementar máquinas virtuales de Azure en sus propias suscripciones y esas máquinas virtuales pueden admitir la administración de certificados en una Key Vault de Azure si es necesario, en función del escenario del cliente.

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, la importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: un tamaño de clave insuficiente, un período de validez demasiado largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen girando mediante métodos manuales en Azure Key Vault y la aplicación.

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Se admiten las directivas de Azure y se pueden configurar para los recursos que crea nuestro servicio, pero no hay ninguna configuración explícita de directivas de seguridad de nuestro servicio.

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.

AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual

Características

Microsoft Defender for Cloud: controles de aplicación adaptables

Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicación adaptables en Microsoft Defender for Cloud. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender para los controles de aplicaciones adaptables en la nube para detectar aplicaciones que se ejecutan en máquinas virtuales (VM) y generar una lista de aplicaciones permitidas para exigir qué aplicaciones aprobadas se pueden ejecutar en el entorno de máquina virtual.

Posición y administración de vulnerabilidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.

PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso

Características

State Configuration de Azure Automation

Descripción: Azure Automation State Configuration se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios no tienen acceso a la máquina virtual host del servicio DevTest Labs, pero nuestro servicio permite a los usuarios administrar e implementar Azure Virtual Machines en sus propias suscripciones y DSC (Desired State Configuration) se aplican a esas máquinas.

Guía de configuración: use Azure Automation State Configuration para mantener la configuración de seguridad del sistema operativo.

Agente de configuración de invitado de Azure Policy

Descripción: Azure Policy agente de configuración de invitado se puede instalar o implementar como una extensión para calcular recursos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios no tienen acceso a la máquina virtual host del servicio DevTest Labs, pero nuestro servicio permite a los usuarios administrar e implementar Azure Virtual Machines en sus propias suscripciones y Azure Policy agente de configuración de invitado se aplica a esas máquinas.

Guía de configuración: use Microsoft Defender for Cloud y Azure Policy agente de configuración de invitado para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.

Imágenes de máquina virtual personalizadas

Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Configurar Azure Marketplace opciones de imagen en Azure DevTest Labs

PV-5: Realización de evaluaciones de vulnerabilidades

Características

Evaluación de vulnerabilidades mediante Microsoft Defender

Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender para la nube u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios Microsoft Defender (incluidos Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: al crear un devTest Labs, puede haber recursos de proceso subyacentes como parte del laboratorio. Hay herramientas para las evaluaciones de vulnerabilidades, externas a nuestro servicio, que se pueden usar en esos recursos.

Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure, las imágenes de contenedor y los servidores SQL Server.

PV-6: Reparación rápida y automática de vulnerabilidades

Características

Update Management en Azure Automation

Descripción: el servicio puede usar Azure Automation Update Management para implementar revisiones y actualizaciones automáticamente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios no tienen acceso a la máquina virtual host del servicio DevTest Labs, pero nuestro servicio permite a los usuarios administrar e implementar Azure Virtual Machines en sus propias suscripciones y Automation Update Management se pueden administrar de forma independiente para esas máquinas.

Guía de configuración: use Azure Automation Update Management o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.

Seguridad de punto de conexión

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno

Características

Solución antimalware

Descripción: característica antimalware, como Microsoft Defender Antivirus, Microsoft Defender para punto de conexión se puede implementar en el punto de conexión. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios no tienen acceso a la máquina virtual host del servicio DevTest Labs, pero nuestro servicio permite a los usuarios administrar e implementar Azure Virtual Machines en sus propias suscripciones y se recomienda encarecidamente usar una solución antimalware en esas máquinas.

Guía de configuración: para Windows Server 2016 y versiones posteriores, Microsoft Defender para antivirus está instalado de forma predeterminada. Para Windows Server 2012 R2 y versiones posteriores, los clientes pueden instalar SCEP (System Center Endpoint Protection). Para Linux, los clientes pueden tener la opción de instalar Microsoft Defender para Linux. Como alternativa, los clientes también tienen la opción de instalar productos antimalware de terceros.

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Características

Supervisión del estado de la solución antimalware

Descripción: la solución antimalware proporciona supervisión del estado de mantenimiento para las actualizaciones automáticas de firma, motor y plataforma. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: los usuarios no tienen acceso a la máquina virtual host del servicio DevTest Labs, pero nuestro servicio permite a los usuarios administrar e implementar Azure Virtual Machines en sus propias suscripciones y se recomienda encarecidamente usar una supervisión de estado de la solución antimalware para esas máquinas.

Guía de configuración: configure la solución antimalware para asegurarse de que la plataforma, el motor y las firmas se actualizan de forma rápida y coherente y se puede supervisar su estado.

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: Azure DevTest Labs no proporcionan explícitamente compatibilidad con Azure Backup, pero el cliente puede configurarlo para las máquinas virtuales de proceso implementadas por nuestro servicio.

Guía de configuración: habilite Azure Backup y configure el origen de copia de seguridad (como Azure Virtual Machines, SQL Server, bases de datos de HANA o recursos compartidos de archivos) en una frecuencia deseada y con un período de retención deseado. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes