Compartir a través de


Línea de base de seguridad de Azure para la IP pública de Azure

Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a la dirección IP pública de Azure. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a la dirección IP pública de Azure.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a la dirección IP pública de Azure. Para ver cómo la dirección IP pública de Azure se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de IP pública de Azure.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de la dirección IP pública de Azure, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Value
Categoría de productos Redes
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena contenido de cliente en reposo False

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: las direcciones IP públicas se pueden crear y, después, asociarse a un recurso dentro de una red virtual.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: para administrar direcciones IP públicas, la cuenta debe asignarse al rol de colaborador de red. Un rol personalizado también se admite.

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de la característica: Azure Policy definiciones se pueden configurar en relación con direcciones IP públicas, como requerir que las direcciones IP públicas tengan habilitados los registros de recursos para Azure DDoS Protection Estándar.

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.

Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: cuando tiene aplicaciones críticas y procesos empresariales que dependen de los recursos de Azure, quiere supervisar esos recursos para su disponibilidad, rendimiento y operación. Los registros de recursos no se recopilan ni almacenan hasta que se crea una configuración de diagnóstico y se enrutan a una o varias ubicaciones.

Referencia: Supervisión de direcciones IP públicas

Pasos siguientes