CIS Azure Security Foundations Benchmark está abierto para recibir comentarios

Publicado el 10 octubre, 2019

Director of Program Management, Azure Security

Una de las mejores formas de agilizar la protección de las implementaciones en la nube es centrarse en los procedimientos recomendados de seguridad más impactantes. Los procedimientos recomendados para proteger cualquier servicio comienzan con el conocimiento fundamental del riesgo de la ciberseguridad y cómo administrarlo. Como cliente de Azure, puede aprovechar ese conocimiento y usar recomendaciones de seguridad de Microsoft para orientar las decisiones basadas en el riesgo a medida que se apliquen a valores de configuración de seguridad específicos en su entorno.

Colaboramos con el Centro para la seguridad en Internet (CIS, por sus siglas en inglés) para crear el banco de pruebas CIS Microsoft Azure Foundations Benchmark v1.  Desde su creación, hemos recibido muy buenos comentarios y hemos querido compartirlos con la comunidad en el documento Azure Security Foundations Benchmark para conocer su opinión. Este banco de pruebas contiene recomendaciones que ayudan a mejorar la seguridad de las aplicaciones y los datos en Azure. Las recomendaciones de este documento actualizarán el banco de pruebas CIS Microsoft Azure Foundations Benchmark v1 y se basan en los procedimientos recomendados de seguridad definidos en CIS Controls, versión 7.

Además, estas recomendaciones están integradas o se integrarán en Azure Security Center y su impacto se indicará en la puntuación de seguridad de Azure Security Center y el panel de cumplimiento normativo de Azure Security Center.

Nos gustaría recibir sus comentarios sobre este documento. Hay dos formas de hacernos llegar su opinión:

El documento Azure Security Foundations Benchmark está ahora en fase de borrador y nos gustaría obtener sus comentarios sobre este trabajo. En concreto, nos gustaría saber lo siguiente:

  • ¿Este documento le proporciona la información necesaria para comprender cómo debe definir su propia línea de base de seguridad para los recursos basados en Azure?
  • ¿Le resulta útil este formato? ¿Existen otros formatos con los que le resulte más fácil usar la información y actuar en consecuencia?
  • ¿Utiliza actualmente CIS Controls como marco y la edición actual del banco de pruebas CIS Azure Security Foundations Benchmark?
  • ¿Qué otra información necesita para implementar las recomendaciones usando las características de seguridad de Azure?
  • Cuando tengamos la versión final del banco de pruebas preparada, la integraremos en el portal de cumplimiento normativo de Azure Security Center. ¿Cumple esto sus requisitos de supervisión para los recursos de Azure conforme a los bancos de pruebas del CIS?

Al equipo de Azure Security Foundations Benchmark le gustaría conocer su opinión. Puede ponerse en contacto con nosotros por correo electrónico o mediante el formulario de comentarios.

Qué incluye el documento Azure Security Foundations Benchmark

El documento del banco de pruebas está dividido en tres secciones principales:

  • Información general.
  • Recomendaciones de seguridad.
  • Implementación de seguridad en los servicios de Azure.

En la sección de información general se comentan los antecedentes que nos han llevado a recopilar este documento, cómo puede usarlo para mejorar sus medidas de seguridad en Azure y algunas definiciones clave de la terminología del banco de pruebas.

Las recomendaciones de seguridad son la piedra angular del documento. En esta sección, se tratan recomendaciones de seguridad para las siguientes áreas:

  • Red
  • Registro
  • Supervisión
  • Administración de identidades y acceso
  • Protección de datos

Las recomendaciones se exponen en tablas como las de la imagen siguiente.

Tabla de recomendaciones del documento Azure Security Foundations Benchmark
En la última sección se muestra cómo se implementan las recomendaciones de seguridad de Azure en una selección de los principales servicios de Azure. Las implementaciones incluyen vínculos a documentos que le ayudarán a comprender cómo aplicar cada componente del banco de pruebas para mejorar la seguridad.

La información sobre implementaciones se incluye en tablas como la siguiente.

Tabla de asignación de servicios del documento Azure Security Foundations Benchmark
Esperamos que esta información le resulte útil y le agradecemos de antemano sus comentarios sobre cómo podemos hacer que este documento le resulte más útil a usted y a su organización. No se olvide de enviarnos sus comentarios por correo electrónico sobre el banco de pruebas CIS Azure Cloud Security Benchmark.