Criterios de Inspección
| Ámbito | Nombre del Elemento | Criterios de Inspección |
|---|---|---|
| Gestión de Cuentas | Gestión de Cuentas de Usuario de AD | Buen Criterio: No hay múltiples cuentas con privilegios administrativos y no existen cuentas innecesarias. Criterio Vulnerable: Existen múltiples cuentas con privilegios administrativos o hay cuentas innecesarias presentes. |
| Gestión de Perfil de Usuario de AD e Identificación de Directorio | Buen Criterio: Los campos obligatorios del perfil (ID, información laboral, datos de contacto, etc.) están completos. Criterio Vulnerable: Los campos obligatorios del perfil (ID, información laboral, datos de contacto, etc.) no están completos. | |
| Gestión de Propietarios y Miembros de Grupos de AD | Buen Criterio: El grupo tiene un propietario y miembros asignados. Criterio Vulnerable: El grupo no tiene un propietario o miembros asignados. | |
| Usuarios Invitados de AD | Buen Criterio: Las cuentas de usuario invitado (incluidas las cuentas innecesarias con uso expirado) no están en uso. Criterio Vulnerable: Las cuentas de usuario invitado (incluidas las cuentas innecesarias con uso expirado) están en uso. | |
| Gestión de la Política de Restablecimiento de Contraseña de AD | Buen Criterio: La política de restablecimiento de contraseña está configurada según los estándares obligatorios. Criterio Vulnerable: La política de restablecimiento de contraseña no está configurada según los estándares obligatorios. | |
| Gestión de Acceso por Llave SSH | Buen Criterio: La creación, modificación y eliminación de llaves SSH están restringidas solo a cuentas de administrador y propietario. Criterio Vulnerable: La creación, modificación y eliminación de llaves SSH no están restringidas solo a cuentas de administrador y propietario. | |
| Configuración de MFA (Autenticación de Múltiples Factores) | Buen Criterio: MFA está habilitado y en uso para las cuentas de usuario de AD. Criterio Vulnerable: MFA no está habilitado ni en uso para las cuentas de usuario de AD. | |
| Gestión de la Política de Bloqueo de Cuenta MFA | Buen Criterio: Los ajustes de bloqueo de cuenta están configurados según la política. Criterio Vulnerable: Los ajustes de bloqueo de cuenta no están configurados según la política. | |
| Gestión de Política de Contraseñas de Azure | Buen Criterio: Las políticas de protección de contraseñas se aplican y usan según la política. Criterio Vulnerable: Las políticas de protección de contraseñas no se aplican ni usan según la política. | |
| Gestión de Permisos | Gestión de Roles de Control de Acceso a la Suscripción (IAM) | Buen Criterio: Los roles de control de acceso establecidos para la suscripción se otorgan como permisos únicos (solo lectura) para cada servicio. Criterio Vulnerable: Los roles de control de acceso establecidos para la suscripción se otorgan con permisos completos del servicio (Propietario, Colaborador, Administrador de acceso de usuario, Lector). |
| Asignación de Roles de Control de Acceso al Grupo de Recursos (IAM) | Buen Criterio: Los permisos/grupos de usuarios de AZURE tienen roles asignados adecuadamente según su propósito. Criterio Vulnerable: Los permisos/grupos de usuarios de AZURE no tienen roles asignados adecuadamente según su propósito. | |
| Gestión de Permisos de Rol de Usuario de AD | Buen Criterio: Los roles administrativos de AD se otorgan adecuadamente según los propósitos de negocio y uso del servicio. Criterio Vulnerable: Los roles administrativos de AD no se otorgan adecuadamente según los propósitos de negocio y uso del servicio. | |
| Gestión de Política de Acceso al Servicio de Instancia | Buen Criterio: El control de acceso (IAM) para los servicios de instancia se otorga según los roles de usuario. Criterio Vulnerable: El control de acceso (IAM) para los servicios de instancia no se otorga según los roles de usuario. | |
| Gestión de Política de Acceso al Servicio de Red | Buen Criterio: El control de acceso (IAM) para los servicios de red se otorga según los roles de usuario. Criterio Vulnerable: El control de acceso (IAM) para los servicios de red no se otorga según los roles de usuario. | |
| Gestión de Política de Acceso a Otros Servicios | Buen Criterio: El control de acceso (IAM) para otros servicios se otorga según los roles de usuario. Criterio Vulnerable: El control de acceso (IAM) para otros servicios no se otorga según los roles de usuario. | |
| Gestión de Recursos Virtuales | Gestión de Recursos de Red Virtual | Buen Criterio: No existen direcciones IP públicas para los recursos que solo usan la red interna entre los dispositivos conectados. Criterio Vulnerable: Existen direcciones IP públicas para los recursos que solo usan la red interna entre los dispositivos conectados. |
| Gestión de Seguridad de Red Virtual Interna | Buen Criterio: El control de acceso (VPN, Bastion) se aplica al acceder a recursos internos. Criterio Vulnerable: El control de acceso (VPN, Bastion) no se aplica al acceder a recursos internos. | |
| Gestión de Configuración 'ANY' en Entrada/Salida de Grupo de Seguridad | Buen Criterio: Los puertos en las reglas de entrada/salida del grupo de seguridad no están permitidos como "Any" (Cualquiera). Criterio Vulnerable: Los puertos en las reglas de entrada/salida del grupo de seguridad están permitidos como "Any" (Cualquiera). | |
| Gestión de Políticas Innecesarias en Entrada/Salida de Grupo de Seguridad | Buen Criterio: No hay políticas innecesarias (Origen, Destino) dentro de las reglas de entrada/salida del grupo de seguridad. Criterio Vulnerable: Hay políticas innecesarias (Origen, Destino) dentro de las reglas de entrada/salida del grupo de seguridad. | |
| Gestión de Configuración de Política 'ANY' en Firewall | Buen Criterio: Las reglas de política del firewall (Origen, Destino, Puerto) no están permitidas como "Any". Criterio Vulnerable: Las reglas de política del firewall (Origen, Destino, Puerto) están permitidas como "Any". | |
| Gestión de Políticas Innecesarias en Firewall | Buen Criterio: No hay reglas innecesarias en la política del firewall. Criterio Vulnerable: Hay reglas innecesarias en la política del firewall. | |
| Gestión de Conexión de Subred de NAT Gateway | Buen Criterio: Solo están conectadas las subredes que requieren acceso a la red pública. Criterio Vulnerable: Están conectadas subredes que no requieren acceso a la red pública. | |
| Configuración de Seguridad de la Cuenta de Almacenamiento | Buen Criterio: La transferencia segura está habilitada, la versión de TLS es 1.2 y el acceso público está bloqueado. Criterio Vulnerable: La transferencia segura está deshabilitada, la versión de TLS es 1.2 o inferior, o el acceso público no está bloqueado. | |
| Gestión de Política de Firma de Acceso Compartido (SAS) de Cuenta de Almacenamiento | Buen Criterio: Al usar una firma de acceso compartido, los permisos y las direcciones IP permitidas están configurados al mínimo. Criterio Vulnerable: Al usar una firma de acceso compartido, los permisos y las direcciones IP permitidas no están configurados al mínimo. | |
| Gestión de Operaciones | Gestión de Configuración de Cifrado de Base de Datos | Buen Criterio: El cifrado de datos transparente (TDE) y las funciones de cifrado de datos están habilitados. Criterio Vulnerable: El cifrado de datos transparente (TDE) y las funciones de cifrado de datos no están habilitados. |
| Configuración de Cifrado de Almacenamiento | Buen Criterio: El cifrado está configurado usando llaves administradas por el servicio y llaves administradas por el cliente. Criterio Vulnerable: El cifrado no está configurado usando llaves administradas por el servicio y llaves administradas por el cliente. | |
| Configuración de Cifrado de Disco | Buen Criterio: El cifrado está configurado usando llaves administradas por el servicio y llaves administradas por el cliente. Criterio Vulnerable: El cifrado no está configurado usando llaves administradas por el servicio y llaves administradas por el cliente. | |
| Configuración de Cifrado para Canales de Comunicación | Buen Criterio: Se aplican ajustes de cifrado dentro de los canales de comunicación de los recursos de la nube. Criterio Vulnerable: No se aplican ajustes de cifrado dentro de los canales de comunicación de los recursos de la nube. | |
| Gestión de Política de Rotación de Key Vault | Buen Criterio: La política de rotación para llaves administradas por el usuario está configurada según el estándar (90 días). Criterio Vulnerable: La política de rotación para llaves administradas por el usuario no está configurada según el estándar (supera los 90 días). | |
| Ajustes de Registro de Auditoría de AD | Buen Criterio: Existe una política de retención de registros de auditoría de AD. Criterio Vulnerable: No existe una política de retención de registros de auditoría de AD. | |
| Ajustes de Registro de Auditoría del Servicio de Instancia | Buen Criterio: Existe una política de retención de registros del servicio de instancia. Criterio Vulnerable: No existe una política de retención de registros del servicio de instancia. | |
| Ajustes de Registro de Auditoría del Servicio de Red | Buen Criterio: Existe una política de retención de registros del servicio de red. Criterio Vulnerable: No existe una política de retención de registros del servicio de red. | |
| Ajustes de Registro de Auditoría de Otros Servicios | Buen Criterio: Existe una política de retención de registros para otros servicios. Criterio Vulnerable: No existe una política de retención de registros para otros servicios. | |
| Bloqueo del Grupo de Recursos | Buen Criterio: Los servicios al cliente (comerciales) y operativos utilizan la función de bloqueo habilitándola. Criterio Vulnerable: Los servicios al cliente (comerciales) y operativos no utilizan la función de bloqueo habilitándola. |