forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathasb_security_checklist.es.json
125 lines (125 loc) · 8.5 KB
/
asb_security_checklist.es.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
{
"categories": [
{
"name": "Seguridad"
}
],
"items": [
{
"category": "Seguridad",
"description": "Azure Service Bus Premium proporciona cifrado de datos en reposo. Si usa su propia clave, los datos aún se cifran con la clave administrada por Microsoft, pero además la clave administrada por Microsoft se cifrará con la clave administrada por el cliente. ",
"guid": "87af4a79-1f89-439b-ba47-768e14c11567",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/configure-customer-managed-key",
"severity": "Bajo",
"subcategory": "Protección de datos",
"text": "Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario",
"training": "https://learn.microsoft.com/learn/modules/plan-implement-administer-conditional-access/"
},
{
"category": "Seguridad",
"description": "La comunicación entre una aplicación cliente y un espacio de nombres de Azure Service Bus se cifra mediante Seguridad de la capa de transporte (TLS). Los espacios de nombres de Azure Service Bus permiten a los clientes enviar y recibir datos con TLS 1.0 y versiones posteriores. Para aplicar medidas de seguridad más estrictas, puede configurar el espacio de nombres de Service Bus para que requiera que los clientes envíen y reciban datos con una versión más reciente de TLS.",
"guid": "5c1ea55b-46a9-448f-b8ae-7d7e4b475b6c",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-enforce-minimum-version",
"severity": "Medio",
"subcategory": "Protección de datos",
"text": "Aplicar una versión mínima requerida de Seguridad de la capa de transporte (TLS) para las solicitudes ",
"training": "https://learn.microsoft.com/learn/modules/secure-aad-users-with-mfa/"
},
{
"category": "Seguridad",
"description": "Al crear un espacio de nombres de Service Bus, se crea automáticamente una regla SAS denominada RootManageSharedAccessKey para el espacio de nombres. Esta directiva tiene permisos de administración para todo el espacio de nombres. Se recomienda tratar esta regla como una cuenta raíz administrativa y no usarla en la aplicación. Se recomienda usar AAD como proveedor de autenticación con RBAC. ",
"guid": "8bcbf59b-ce65-4de8-a03f-97879468d66a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-sas#shared-access-authorization-policies",
"severity": "Medio",
"subcategory": "Gestión de identidades y accesos",
"text": "Evite usar una cuenta root cuando no sea necesario",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/"
},
{
"category": "Seguridad",
"description": "Una aplicación cliente de Service Bus que se ejecuta dentro de una aplicación del Servicio de aplicaciones de Azure o en una máquina virtual con entidades administradas habilitadas para la compatibilidad con recursos de Azure no necesita controlar reglas y claves de SAS, ni ningún otro token de acceso. La aplicación cliente solo necesita la dirección de extremo del espacio de nombres Mensajería de Service Bus. ",
"guid": "786d60f9-6c96-4ad8-a55d-04c2b39c986b",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-managed-service-identity",
"severity": "Medio",
"subcategory": "Gestión de identidades y accesos",
"text": "Siempre que sea posible, la aplicación debe usar una identidad administrada para autenticarse en Azure Service Bus. Si no es así, considere la posibilidad de tener la credencial de almacenamiento (SAS, credencial de entidad de servicio) en Azure Key Vault o un servicio equivalente",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "Seguridad",
"description": "Al crear permisos, proporcione un control detallado sobre el acceso de un cliente a Azure Service Bus. Los permisos de Azure Service Bus pueden y deben limitarse al nivel de recurso individual, por ejemplo, cola, tema o suscripción. ",
"guid": "f615658d-e558-4f93-9249-b831112dbd7e",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/authenticate-application#azure-built-in-roles-for-azure-service-bus",
"severity": "Alto",
"subcategory": "Gestión de identidades y accesos",
"text": "Usar RBAC del plano de datos con privilegios mínimos",
"training": "https://learn.microsoft.com/learn/modules/explore-basic-services-identity-types/"
},
{
"category": "Seguridad",
"description": "Los registros de recursos de Azure Service Bus incluyen registros operativos, redes virtuales y registros de filtrado de IP. Los registros de auditoría en tiempo de ejecución capturan información de diagnóstico agregada para diversas operaciones de acceso al plano de datos (como enviar o recibir mensajes) en Service Bus.",
"guid": "af12e7f9-43f6-4304-922d-929c2b1cd622",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/monitor-service-bus-reference",
"severity": "Medio",
"subcategory": "Monitorización",
"text": "Habilite el registro para la investigación de seguridad. Usar Azure Monitor para realizar un seguimiento de los registros de recursos y los registros de auditoría en tiempo de ejecución (actualmente disponible solo en el nivel premium)",
"training": "https://learn.microsoft.com/learn/paths/manage-identity-and-access/"
},
{
"category": "Seguridad",
"description": "De forma predeterminada, Azure Service Bus tiene una dirección IP pública y es accesible desde Internet. Los puntos de conexión privados permiten que el tráfico entre la red virtual y Azure Service Bus atraviese la red troncal de Microsoft. Además de eso, debe deshabilitar los puntos finales públicos si no se usan. ",
"guid": "9ae669ca-48e4-4a85-b222-3ece8bb12307",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/private-link-service",
"severity": "Medio",
"subcategory": "Gestión de redes",
"text": "Considere la posibilidad de usar puntos de conexión privados para acceder a Azure Service Bus y deshabilitar el acceso a la red pública cuando corresponda.",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "Seguridad",
"description": "Con el firewall IP, puede restringir el punto final público a solo un conjunto de direcciones IPv4 o intervalos de direcciones IPv4 en notación CIDR (Classless Inter-Domain Routing). ",
"guid": "ca5f06f1-58e3-4ea3-a92c-2de7e2165c3a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-ip-filtering",
"severity": "Medio",
"subcategory": "Gestión de redes",
"text": "Considere la posibilidad de permitir solo el acceso al espacio de nombres de Azure Service Bus desde direcciones IP o intervalos específicos",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/"
}
],
"metadata": {
"name": "Azure Service Bus Review"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Medio"
},
{
"name": "Bajo"
}
],
"status": [
{
"description": "Esta comprobación aún no se ha examinado",
"name": "No verificado"
},
{
"description": "Hay un elemento de acción asociado a esta comprobación",
"name": "Abrir"
},
{
"description": "Esta comprobación se ha comprobado y no hay más elementos de acción asociados a ella",
"name": "Cumplido"
},
{
"description": "Recomendación entendida, pero no necesaria por los requisitos actuales",
"name": "No es necesario"
},
{
"description": "No aplicable para el diseño actual",
"name": "N/A"
}
]
}