Línea de base de seguridad de Azure para Azure Load Balancer
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Azure Load Balancer. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Load Balancer.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure Load Balancer. Para ver cómo Azure Load Balancer se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Load Balancer.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Load Balancer, lo que puede dar lugar a un aumento de las consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Redes |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | False |
| Almacena el contenido del cliente en reposo | False |
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: aunque el recurso de Azure Load Balancer no se implementa directamente en un Virtual Network, la SKU interna puede crear una o varias configuraciones de IP de front-end mediante una instancia de Azure Virtual Network de destino.
Guía de configuración: Azure ofrece dos tipos de ofertas de Load Balancer, Estándar y Básico. Use equilibradores de carga internos de Azure para permitir solo el tráfico a los recursos de back-end desde determinadas redes virtuales o redes virtuales emparejadas sin exposición a Internet. Implemente una instancia de Load Balancer externa con la traducción de direcciones de red de origen (SNAT) para enmascarar las direcciones IP de los recursos de back-end para la protección frente a la exposición directa a Internet.
Referencia: Configuración de IP de front-end interna de Load Balancer
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: los usuarios pueden configurar un grupo de seguridad de red en su red virtual, pero no directamente en la Load Balancer.
Guía de configuración: implemente grupos de seguridad de red y permita el acceso solo a los puertos de confianza de la aplicación y a los intervalos de direcciones IP. En los casos en los que no haya ningún grupo de seguridad de red asignado a la subred de back-end o a la NIC de las máquinas virtuales de back-end, no se permitirá que el tráfico acceda a estos recursos desde el equilibrador de carga. Los equilibradores de carga estándar proporcionan reglas de salida para definir NAT de salida con un grupo de seguridad de red. Revise estas reglas de salida para ajustar el comportamiento de las conexiones salientes.
Standard Load Balancer está diseñado para ser seguro de manera predeterminada y parte de una instancia de Virtual Network privada y aislada. Se cierra en los flujos de entrada, a menos que los grupos de seguridad de red lo abran para permitir explícitamente el tráfico permitido y para no permitir direcciones IP malintencionadas conocidas. A menos que haya un grupo de seguridad de red en una subred o NIC del recurso de máquina virtual detrás de Load Balancer, no se permite que el tráfico llegue a este recurso.
Nota: Se recomienda usar un Standard Load Balancer para las cargas de trabajo de producción y, normalmente, el Load Balancer básico solo se usa para realizar pruebas, ya que el tipo básico está abierto a las conexiones desde Internet de forma predeterminada y no requiere grupos de seguridad de red para su funcionamiento.
Referencia: Azure Load Balancer configuración de IP de front-end
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Network:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: defina e implemente configuraciones de seguridad estándar para los recursos de Azure mediante Azure Policy. Asigne definiciones de directiva integradas relacionadas con los recursos de Azure Load Balancer específicos. Cuando no haya definiciones de directiva integradas disponibles, puede usar alias de Azure Policy para crear directivas personalizadas para auditar o aplicar la configuración de los recursos de Azure Load Balancer en el espacio de nombres "Microsoft.Network".
Pasos siguientes
- Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.