Omitir navegación

Soporte JIT para Azure Firewall y corrección con un solo clic en Azure Security Center

Publicado el 20 agosto, 2019

Senior Program Manager, Azure Security Center

Rotem Lurie, jefe de programas de Azure Security Center, es el coautor de esta entrada de blog.

Azure Security Center le proporciona una visión general de la postura de seguridad de todo el entorno de Azure, lo que le permite supervisar y mejorar de forma continua su postura de seguridad mediante la puntuación segura en Azure. Security Center lo ayuda a identificar y a llevar a cabo las tareas de protección recomendadas como procedimientos recomendados de seguridad e implementarlas en todas sus máquinas, servicios de datos y aplicaciones. Esto incluye administrar y aplicar las directivas de seguridad y asegurarse de que sus máquinas virtuales de Azure, los servidores que no son de Azure y los servicios PaaS de Azure cumplen con estas directivas.

Hoy anunciamos dos nuevas funcionalidades: la versión preliminar para corregir recomendaciones en muchos recursos con un solo clic mediante la puntuación segura y la disponibilidad general (GA) del acceso de máquinas virtuales (VM) cuando es necesario (JIT) para Azure Firewall. Ahora puede asegurar los entornos protegidos con Azure Firewall mediante JIT, además de sus entornos protegidos con grupo de seguridad de red (NSG).

Versión preliminar de la corrección con un solo clic para muchos recursos

Con tantos servicios que ofrecen ventajas de seguridad, a menudo es difícil saber qué pasos dar primero para asegurar y proteger su carga de trabajo. La puntuación segura de Azure revisa las recomendaciones de seguridad y les asigna una prioridad, así sabe qué recomendaciones realizar primero. De esta manera, puede encontrar las vulnerabilidades de seguridad más graves y así dar prioridad a la investigación. La puntuación segura es una herramienta que le ayuda a evaluar la postura de seguridad de las cargas de trabajo.

Para simplificar la corrección de configuraciones erróneas de seguridad y poder mejorar rápidamente la puntuación segura, hemos creado una nueva funcionalidad que le permite corregir una recomendación en muchos recursos con un solo clic.

Esta operación le permitirá seleccionar los recursos a los que desea aplicar la corrección y dar inicio a una acción correctiva que configurará los parámetros por usted. La corrección con un solo clic está disponible actualmente para los clientes de versión preliminar como parte de la hoja de recomendaciones de Security Center.

Puede ver la etiqueta corrección con un clic junto a la recomendación y hacer clic en la recomendación:

Hoja de recomendaciones de Azure Security Center

Una vez que elija qué recursos desea corregir y seleccione Corregir, se dará inicio a la corrección y los recursos pasarán a la pestaña Recursos correctos. Las acciones de corrección se registran en el registro de actividad para ofrecer detalles adicionales en caso de que se produzca un error.

Permitir auditorías de SQL Server en Azure Security Center

En la versión preliminar, está disponible la corrección de las siguientes recomendaciones:

  • Solo debe acceder a Web Apps, Function Apps y API Apps con HTTPS
  • Debe desactivarse la depuración remota para Function Apps, Web Apps y API Apps
  • CORS no debe permitir que todos los recursos accedan a Function Apps, Web Apps o API Apps
  • Se debe habilitar la transferencia segura a las cuentas de almacenamiento
  • Se debe habilitar el cifrado de datos transparente para Azure SQL Database
  • Se debe instalar un agente de supervisión en las máquinas virtuales
  • Se deben habilitar los registros de diagnóstico en Azure Key Vault y Azure Service Bus
  • Se deben habilitar los registros de diagnóstico en Service Bus
  • La evaluación de vulnerabilidad debe estar activada en su SQL Server
  • La seguridad avanzada de datos debe estar activada en su SQL Server
  • Se debe habilitar la evaluación de vulnerabilidad en las instancias administradas de SQL
  • La seguridad avanzada de datos debe estar habilitada en las instancias administradas de SQL

La corrección con un solo clic forma parte del nivel gratis de Azure Security Center.

El acceso a máquinas virtuales cuando es necesario para Azure Firewall está disponible con carácter general

Anuncio de la disponibilidad general del acceso a las máquinas virtuales cuando es necesario para Azure Firewall. Ahora puede asegurar los entornos protegidos con Azure Firewall mediante JIT, además de sus entornos protegidos con NSG.

El acceso a VM JIT reduce la exposición de las VM a ataques volumétricos a la red ya que ofrece acceso controlado a VM solo cuando es necesario según las reglas de Azure Firewall y NSG.

Cuando habilita JIT para sus VM, crea una directiva que determina qué puertos proteger, por cuánto tiempo deben permanecer abiertos y desde qué direcciones IP se puede acceder a estos puertos. Esta directiva le ayuda a mantener el control de lo que los usuarios pueden hacer cuando solicitan acceso.

Las solicitudes se registran en el registro de actividad para que pueda supervisar y auditar fácilmente el acceso. La hoja de JIT también lo ayuda a identificar rápidamente las máquinas virtuales existentes que tienen JIT habilitado y las máquinas virtuales donde se recomienda JIT.

Azure Security Center muestra las solicitudes que se aprobaron recientemente. La pestaña VM configuradas refleja el último usuario, la hora y los puertos abiertos para las solicitudes de JIT aprobadas anteriormente. Cuando un usuario crea una solicitud JIT para una VM protegida con Azure Firewall, Security Center proporciona al usuario los detalles correctos de la conexión a su máquina virtual, que se traducen directamente desde la traducción de direcciones de red de destino (DNAT) de Azure Firewall.

Máquinas virtuales configuradas en Azure Security Center

Esta característica está disponible en el nivel de precios estándar de Security Center, que puede probar de forma gratuita durante los primeros 30 días.

Para obtener más información sobre estas características en Security Center, visite “Corrección de recomendaciones en Azure Security Center”, la documentación del acceso a VM cuando es necesario y la documentación sobre Azure Firewall. Si desea obtener más información de Azure Security Center, visite la página principal de Azure Security Center.