Gestión de la postura de seguridad con Azure Security Benchmark

Gestión de la postura de seguridad con Azure Security Benchmark

14/06/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en el uso de Azure Security Benchmark (ASB) para administrar y mejorar la postura de seguridad de sus entornos de Azure. En un panorama de nube en constante evolución, garantizar que los recursos estén configurados de forma segura y de conformidad con las mejores prácticas es un desafío continuo. ASB, junto con Microsoft Defender para la nube, proporciona un marco integral para evaluar, monitorear y mejorar la seguridad de sus cargas de trabajo en la nube [1].

Introducción

La seguridad de la nube es una responsabilidad compartida entre el proveedor de la nube (Microsoft) y el cliente. Aunque Microsoft protege la infraestructura subyacente, la seguridad de los datos, las aplicaciones y las configuraciones de red dentro de su entorno es su responsabilidad. La complejidad de los servicios en la nube y la velocidad del cambio pueden dificultar el mantenimiento de una postura de seguridad sólida y consistente. Las configuraciones incorrectas, las vulnerabilidades sin parches y la falta de visibilidad son vectores de ataque comunes que pueden provocar violaciones de seguridad [2].

Azure Security Benchmark (ASB) es un conjunto de pautas de seguridad específicas para Azure, desarrollado por Microsoft, que incorpora mejores prácticas de seguridad y recomendaciones de cumplimiento de marcos líderes en la industria como CIS (Centro para la seguridad de Internet) y NIST (Instituto Nacional de Estándares y Tecnología). Proporciona una base para proteger sus recursos en la nube, cubriendo áreas como seguridad de red, gestión de identidades, protección de datos, gestión de vulnerabilidades y más. Microsoft Defender for Cloud (anteriormente Azure Security Center) es la herramienta principal para evaluar y monitorear el cumplimiento de ASB [3].

Esta guía práctica cubrirá los requisitos previos, los conceptos de ASB, cómo usar Microsoft Defender para la nube para evaluar el cumplimiento de ASB, interpretar recomendaciones de seguridad, corregir fallas, configurar excepciones y monitorear Secure Score. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y explicaciones concisas para que el lector pueda implementar, probar y validar estas características. Además, se analizarán consejos de seguridad, verificación de cumplimiento y mejores prácticas para garantizar que su postura de seguridad en Azure mejore continuamente, de manera autónoma, profesional y confiable.

¿Por qué Azure Security Benchmark es crucial para su postura de seguridad?

  • Pautas integrales: proporciona un conjunto detallado de recomendaciones de seguridad para los servicios de Azure, que cubren todos los aspectos de la seguridad en la nube.
  • Alineación con los estándares de la industria: Basado en marcos de seguridad reconocidos globalmente, lo que garantiza que sus prácticas de seguridad estén alineadas con las mejores prácticas.
  • Evaluación continua: Integrado con Microsoft Defender para la nube, ofrece una evaluación continua del cumplimiento de ASB e identifica desviaciones.
  • Recomendaciones prácticas: proporciona recomendaciones claras y pasos de solución para resolver problemas de seguridad y mejorar la postura.
  • Monitoreo de puntuación segura: ayuda a visualizar y realizar un seguimiento del progreso en la mejora de la seguridad a través de una métrica cuantificable (Puntuación segura).
  • Cumplimiento normativo: facilita el cumplimiento de diversos requisitos de cumplimiento al asignar los controles de ASB a los estándares regulatorios.

Requisitos previos

Para administrar su postura de seguridad con Azure Security Benchmark, necesitará los siguientes elementos:

  1. Suscripción activa de Azure: una suscripción de Azure con recursos implementados.
  2. Acceso administrativo: una cuenta con el rol de "Propietario", "Colaborador" o "Administrador de seguridad" en la suscripción o grupo de recursos.
  3. Microsoft Defender para la nube habilitado: Defender para la nube debe estar habilitado en su suscripción para proporcionar evaluaciones y recomendaciones de seguridad. El plan gratuito ya ofrece ASB [4].

Paso a paso: administrar la postura de seguridad con Azure Security Benchmark

Habilitemos Security Center, evalúemos el cumplimiento de ASB y corrijamos las recomendaciones.

1. Habilitación de Microsoft Defender para la nube y Azure Security BenchmarkASB se incluye automáticamente en Security Center. Si ya tiene habilitado Defender for Cloud, ASB ya se está evaluando.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el campo de búsqueda superior, escriba "Microsoft Defender para la nube" y selecciónelo de los resultados.
  4. En la página de descripción general de Security Center, verifique que su suscripción esté integrada. De lo contrario, siga las instrucciones para integrar su suscripción.
  5. En el panel de navegación izquierdo, seleccione Configuración del entorno.
  6. Seleccione la firma que desea proteger.

  7. En la página de planes de Defender, asegúrese de que el plan "Seguridad básica en la nube" (que incluye ASB) esté "Activado".

    • Explicación: El plan básico de Defender for Cloud proporciona una evaluación de la postura de seguridad, incluidas recomendaciones de Azure Security Benchmark, de forma gratuita. Los planes pagos (como Defender para servidores, Defender para almacenamiento) agregan protección de carga de trabajo (CWPP).

2. Evaluación del cumplimiento del punto de referencia de seguridad de Azure

Defender for Cloud muestra el cumplimiento de ASB a través del panel de cumplimiento normativo.

  1. En el panel de navegación izquierdo de Defender for Cloud, seleccione Cumplimiento normativo.
  2. En el panel, verá "Azure Security Benchmark" listado como uno de los estándares de cumplimiento.

  3. Haga clic en "Azure Security Benchmark" para ver los detalles de cumplimiento.

    • Explicación: Este panel muestra una descripción general de su cumplimiento de ASB, incluido cuántos controles pasaron, cuántos fallaron y cuántos requieren intervención manual. Puede profundizar en los controles para ver recomendaciones específicas.

3. Interpretación y corrección de recomendaciones de seguridad

Las recomendaciones son la base para mejorar su postura de seguridad.

  1. En el panel de navegación izquierdo de Defender for Cloud, seleccione Recomendaciones.
  2. Las recomendaciones están agrupadas por Control de Seguridad. Puede filtrar por "Estándar" = "Azure Security Benchmark".
  3. Busque una recomendación con Estado = Incorrecto (por ejemplo, Los puertos de administración deben restringirse a rangos de IP confiables).

  4. Haga clic en la recomendación para ver detalles:

    • Descripción: Explica el problema de seguridad.
    • Pasos de solución: proporciona instrucciones paso a paso para corregir el problema. Muchas recomendaciones ofrecen una opción "Reparar" con un solo clic o un script de automatización.
    • Recursos afectados: enumera todos los recursos (VM, cuentas de almacenamiento, redes, etc.) que no cumplen.
    • Estándares de cumplimiento: muestra qué controles ASB (y otros estándares) aborda esta recomendación.

  5. Corregir una recomendación (ejemplo: restringir puertos de administración):

    • Para ver la recomendación "Los puertos de administración deben restringirse a rangos de IP confiables", haga clic en los recursos afectados.
    • Para cada función, puede hacer clic en "Reparar" o seguir las instrucciones del manual para configurar un grupo de seguridad de red (NSG) que restringe el acceso a los puertos RDP/SSH solo a direcciones IP específicas y confiables.

    • Ejemplo de comando de la CLI de Azure para actualizar NSG: golpecito actualización de la regla az network nsg\ --resource-group <nombre_grupo_recursos> \ --nsg-name <nombre_nsg> \ --nombre <rdp_ssh_rule_name> \ --prefijos-dirección-fuente <your_trust_ips> \ --destino-puerto-rangos 3389 # o 22

    • Explicación: Después de la corrección, Security Center volverá a evaluar el recurso. Si la solución es exitosa, el estado del recurso cambiará a "Saludable" y se actualizará su puntuación de seguridad.

4. Configuración de excepciones para recomendaciones

En algunos casos, una recomendación puede no ser aplicable a un recurso específico o puede haber una justificación comercial para no remediarlo de inmediato. Puedes crear una excepción.

  1. En la página de detalles de una recomendación, haga clic en ... (más opciones) y seleccione Crear excepción.
  2. Crear excepción:
    • Ámbito: seleccione si la excepción se aplica a toda la suscripción, a un grupo de recursos o a un recurso específico.
    • Motivo: seleccione el motivo de la excepción (por ejemplo, "Riesgo aceptado", "Mitigado por control de terceros").
    • Fecha de vencimiento: Establecer una fecha de vencimiento para la excepción.
    • Comentario: proporcione una justificación detallada de la excepción.

  3. Haga clic en Crear.

    • Explicación: Las excepciones deben usarse con precaución y documentarse. Eliminan la recomendación de su puntuación segura, pero el riesgo subyacente aún existe. Revise las excepciones periódicamente.

5. Monitoreo de la puntuación segura

La puntuación segura es una medida cuantificable de su postura de seguridad.

  1. En el panel de navegación izquierdo de Defender for Cloud, seleccione Descripción general.
  2. "Puntuación segura" se muestra de forma destacada, mostrando su puntuación actual y su potencial de mejora.

  3. Haga clic en Secure Score para ver los detalles, incluidas las recomendaciones que más contribuyen a mejorar la puntuación.

    • Explicación: La puntuación de seguridad se calcula en función del porcentaje de recomendaciones de seguridad que haya resuelto. Priorice las recomendaciones que tengan un mayor impacto en su puntuación y que sean más críticas para su entorno.

Validación y pruebas

Es fundamental validar que las acciones correctivas estén funcionando y que su postura de seguridad esté mejorando.

1. Verificación de la corrección de la recomendación

  1. Escenario: Después de aplicar una corrección para una recomendación (por ejemplo, restringir los puertos de administración), espere unos minutos para que Security Center vuelva a evaluar el recurso.
  2. Acción esperada: el estado del recurso para esa recomendación debe cambiar de "No saludable" a "Bueno".
  3. Verificación:
    • Vaya a Microsoft Defender para la nube > Recomendaciones.
    • Filtre por la recomendación que solucionó y verifique el estado de los recursos afectados.

2. Seguimiento de la evolución del Secure Score

  1. Escenario: después de corregir varias recomendaciones, observe cómo evoluciona su puntuación segura con el tiempo.
  2. Acción esperada: Su puntuación de seguridad debería aumentar, lo que refleja la mejora en su postura de seguridad.
  3. Verificación:
    • Vaya a Microsoft Defender para la nube > Descripción general y observe el gráfico de tendencias "Puntuación segura".

Consejos de seguridad y mejores prácticas

  • Priorice las recomendaciones críticas: céntrese primero en las recomendaciones que tienen el mayor impacto en su puntuación de seguridad y que abordan los riesgos más críticos para su entorno.
  • Automatizar la corrección: use opciones de "Remediar" con un solo clic o scripts de automatización (Azure Policy, Azure Automation) para corregir las recomendaciones a escala.
  • Integre con Azure Policy: utilice Azure Policy para hacer cumplir el cumplimiento de ASB, garantizando que los nuevos recursos ya se implementen de conformidad y que los recursos existentes no se desvíen de las políticas.
  • Revisión periódica: revise periódicamente las recomendaciones de seguridad, las excepciones y la puntuación segura para mantener una postura de seguridad proactiva.
  • Conciencia del equipo: asegúrese de que los equipos de desarrollo y operaciones conozcan las recomendaciones de ASB y cómo sus acciones afectan la postura de seguridad.
  • Defienda la nube con planes pagos: aunque ASB es gratuito, considere habilitar los planes pagos de Defender para la nube (por ejemplo, Defender para servidores, Defender para almacenamiento, Defender para SQL) para obtener protección de carga de trabajo (CWPP) y detección avanzada de amenazas.

Solución de problemas comunes

  • Las recomendaciones no se actualizan después de la corrección:
    • Es posible que Security Center tarde algún tiempo en volver a evaluar los recursos y actualizar el estado. Espere unos minutos y actualice la página.
    • Verificar que la remediación se aplicó correctamente. A veces, las instrucciones de remediación pueden tener detalles específicos que deben seguirse con precisión.
    • Verifique los registros de actividad de Azure para confirmar que el cambio se aplicó al recurso.
  • La puntuación segura no aumenta:
    • La puntuación segura refleja el porcentaje de recomendaciones resueltas. Si solo puso remedio a algunas recomendaciones de bajo impacto, el aumento puede ser mínimo.
    • Asegúrese de que no haya nuevas recomendaciones "no saludables" que anulen sus soluciones.
  • Los recursos no aparecen en las recomendaciones:
    • Verifique que Security Center esté habilitado para la suscripción donde se encuentran los recursos.
    • Asegúrese de que las funciones sean compatibles con Security Center y ASB.
    • Puede haber un retraso en el descubrimiento de nuevos recursos.cursos a través de Defender for Cloud.
  • Preguntas sobre una recomendación específica:
    • Consulte la documentación oficial de Azure Security Benchmark en Microsoft Learn para obtener detalles adicionales sobre cada control y recomendación.
    • Utilice la opción "Comentarios" en el portal de Azure para enviar preguntas o comentarios a Microsoft.

Conclusión

Azure Security Benchmark, junto con Microsoft Defender para la nube, es una herramienta indispensable para cualquier organización que busque mantener una postura de seguridad sólida y compatible en Azure. Al proporcionar un marco claro de mejores prácticas y una plataforma para la evaluación y remediación continua, permite a los equipos de seguridad identificar y resolver de manera proactiva las violaciones de seguridad. Adoptar y mantener activamente ASB es fundamental para proteger sus activos en la nube contra amenazas cibernéticas y garantizar la integridad de sus operaciones. Con esta guía práctica, los profesionales de seguridad y administradores de TI estarán bien equipados para configurar, validar y gestionar la postura de seguridad de sus entornos Azure de forma autónoma, profesional y confiable.

Referencias:

[1] Microsoft aprende. Descripción general de Azure Security Benchmark v3. Disponible en: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft aprende. Control de Seguridad v3: Gestión de posturas y vulnerabilidades. Disponible en: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft aprende. ¿Qué es Microsoft Defender para la nube?. Disponible en: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft aprende. Mejorar el cumplimiento normativo - Azure. Disponible en: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft aprende. Puntuación de seguridad de Defender for Cloud. Disponible en: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft aprende. Recomendaciones de solución: Microsoft Defender para la nube. Disponible en: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft aprende. Revisar recomendaciones de seguridad - Azure. Disponible en: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations