-
Notifications
You must be signed in to change notification settings - Fork 327
/
Copy pathalz_checklist.es.json
2980 lines (2980 loc) · 189 KB
/
alz_checklist.es.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
{
"categories": [
{
"name": "Facturación de Azure y inquilinos de Id. de Microsoft Entra"
},
{
"name": "Gestión de identidades y accesos"
},
{
"name": "Topología de red y conectividad"
},
{
"name": "Seguridad"
},
{
"name": "Administración"
},
{
"name": "Organización de recursos"
},
{
"name": "Automatización de plataformas y DevOps"
},
{
"name": "Gobernanza"
}
],
"items": [
{
"category": "Topología de red y conectividad",
"guid": "7bc1c396-2461-4698-b57f-30ca69525252",
"id": "",
"link": "https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/considerations/regions",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Implemente los recursos de conectividad de la zona de aterrizaje de Azure en varias regiones, de modo que pueda admitir rápidamente zonas de aterrizaje de aplicaciones de varias regiones y escenarios de recuperación ante desastres.",
"training": "https://learn.microsoft.com/training/modules/hub-and-spoke-network-architecture/",
"waf": "Fiabilidad"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "70c15989-c726-42c7-b0d3-24b7375b9201",
"id": "A01.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/multi-tenant/considerations-recommendations",
"service": "Entra",
"severity": "Medio",
"subcategory": "Inquilinos de Microsoft Entra ID",
"text": "Use un inquilino de Entra para administrar los recursos de Azure, a menos que tenga un requisito normativo o empresarial claro para varios inquilinos.",
"training": "https://learn.microsoft.com/training/modules/deploy-resources-scopes-bicep/2-understand-deployment-scopes",
"waf": "Operaciones"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "6309957b-821a-43d1-b9d9-7fcf1802b747",
"id": "A01.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/multi-tenant/automation",
"service": "Entra",
"severity": "Bajo",
"subcategory": "Inquilinos de Microsoft Entra ID",
"text": "Use el enfoque de automatización multiinquilino para administrar los inquilinos de identificador de Microsoft Entra.",
"training": "https://learn.microsoft.com/entra/architecture/multi-tenant-user-management-introduction/",
"waf": "Operaciones"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "78e11934-499a-45ed-8ef7-aae5578f0ecf",
"id": "A01.03",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/multi-tenant/lighthouse",
"service": "Entra",
"severity": "Alto",
"subcategory": "Inquilinos de Microsoft Entra ID",
"text": "Use Azure Lighthouse para la administración de varios inquilinos con los mismos identificadores.",
"training": "https://learn.microsoft.com/azure/lighthouse/concepts/cross-tenant-management-experience",
"waf": "Operaciones"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "5d82e6df-6f61-42f2-82e2-3132d293be3d",
"id": "A02.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-microsoft-customer-agreement#design-recommendations",
"service": "Entra",
"severity": "Alto",
"subcategory": "Proveedor de soluciones en la nube",
"text": "Si concede a un asociado acceso para administrar el inquilino, use Azure Lighthouse.",
"training": "https://learn.microsoft.com/azure/lighthouse/how-to/onboard-customer",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "a24d0de3-d4b9-4dfb-8ddd-bbfaf123fa01",
"id": "A02.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-cloud-solution-provider#design-recommendations",
"severity": "Bajo",
"subcategory": "Proveedor de soluciones en la nube",
"text": "Si tiene un asociado de CSP, defina y documente la solicitud de soporte técnico y el proceso de escalamiento.",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "32952499-58c8-4e6f-ada5-972e67893d55",
"id": "A02.03",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-microsoft-customer-agreement#design-recommendations",
"severity": "Medio",
"subcategory": "Proveedor de soluciones en la nube",
"text": "Configure informes de costos y vistas con Azure Cost Management.",
"training": "https://learn.microsoft.com/training/modules/analyze-costs-create-budgets-azure-cost-management/",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "685cb4f2-ac9c-4b19-9167-993ed0b32415",
"id": "A03.01",
"link": "https://learn.microsoft.com/azure/cost-management-billing/manage/direct-ea-administration#manage-notification-contacts",
"severity": "Medio",
"subcategory": "Contrato Enterprise",
"text": "Configurar contactos de notificación en un buzón de grupo.",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "12cd499f-96e2-4e41-a243-231fb3245a1c",
"id": "A03.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-enterprise-agreement#design-considerations",
"severity": "Bajo",
"subcategory": "Contrato Enterprise",
"text": "Use departamentos y cuentas para asignar la estructura de su organización a su jerarquía de inscripción, lo que puede ayudar a separar la facturación.",
"training": "https://learn.microsoft.com/azure/cost-management-billing/manage/understand-ea-roles",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "ca0fe401-12ad-46fc-8a7e-86293866a9f6",
"id": "A03.04",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-enterprise-agreement#design-recommendations",
"severity": "Medio",
"subcategory": "Contrato Enterprise",
"text": "Habilite los cargos de visualización de DA y los cargos de vista de AO en sus inscripciones de EA para permitir que los usuarios con las permanentes correctas revisen los datos de costos y facturación.",
"training": "https://learn.microsoft.com/azure/cost-management-billing/costs/assign-access-acm-data#enable-access-to-costs-in-the-azure-portal",
"waf": "Seguridad"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "5cf9f485-2784-49b3-9824-75d9b8bdb57b",
"id": "A03.05",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-enterprise-agreement#design-considerations",
"severity": "Bajo",
"subcategory": "Contrato Enterprise",
"text": "Uso de suscripciones de desarrollo y pruebas empresariales para reducir los costos de las cargas de trabajo que no son de producción.",
"training": "https://learn.microsoft.com/azure/devtest/offer/how-to-manage-monitor-devtest",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "6ad5c3dd-e5ea-4ff1-81a4-7886ff87845c",
"id": "A04.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-microsoft-customer-agreement#design-recommendations",
"severity": "Bajo",
"subcategory": "Contrato de cliente de Microsoft",
"text": "Configurar el correo electrónico de contacto de notificación de la cuenta de facturación del acuerdo.",
"training": "https://learn.microsoft.com/azure/cost-management-billing/manage/mca-setup-account",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "90e87802-602f-4dfb-acea-67c60689f1d7",
"id": "A04.02",
"link": "https://learn.microsoft.com/azure/cost-management-billing/manage/mca-section-invoice",
"severity": "Bajo",
"subcategory": "Contrato de cliente de Microsoft",
"text": "Utilice las secciones Perfiles de facturación y Factura para estructurar la facturación de sus acuerdos y lograr una administración de costos eficaz.",
"training": "https://learn.microsoft.com/azure/cost-management-billing/understand/mca-overview#billing-profiles",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "e81a73f0-84c4-4641-b406-14db3b4d1f50",
"id": "A04.03",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-microsoft-customer-agreement#design-recommendations",
"severity": "Bajo",
"subcategory": "Contrato de cliente de Microsoft",
"text": "Utilice la oferta del plan de desarrollo y pruebas de Microsoft Azure para reducir los costos de las cargas de trabajo que no son de producción.",
"training": "https://learn.microsoft.com/azure/devtest/offer/overview-what-is-devtest-offer-visual-studio",
"waf": "Costar"
},
{
"category": "Facturación de Azure y inquilinos de Id. de Microsoft Entra",
"guid": "ae757485-92a4-482a-8bc9-eefe6f5b5ec3",
"id": "A04.04",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-microsoft-customer-agreement#design-recommendations",
"severity": "Medio",
"subcategory": "Contrato de cliente de Microsoft",
"text": "Defina y documente un proceso para auditar periódicamente las asignaciones de roles de RBAC de facturación del acuerdo para revisar quién tiene acceso a su cuenta de facturación de MCA.",
"training": "https://learn.microsoft.com/azure/cost-management-billing/manage/understand-mca-roles",
"waf": "Costar"
},
{
"category": "Gestión de identidades y accesos",
"guid": "348ef254-c27d-442e-abba-c7571559ab91",
"id": "B03.01",
"link": "https://learn.microsoft.com/azure/role-based-access-control/overview",
"service": "Entra",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Aplique un modelo RBAC que se alinee con su modelo operativo en la nube. Ámbito y asignación entre grupos de administración y suscripciones.",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "4348bf81-7573-4512-8f46-9061cc198fea",
"id": "B03.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access-landing-zones#identity-and-access-management-in-the-azure-landing-zone-accelerator",
"severity": "Alto",
"subcategory": "Id. de Microsoft Entra e identidad híbrida",
"text": "Use identidades administradas en lugar de entidades de servicio para la autenticación en los servicios de Azure. Puede comprobar las entidades de servicio existentes a través de Entra ID > Iniciar sesión Registros > inicios de sesión de entidad de servicio.",
"training": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "12e7f983-f630-4472-8dd6-9c5b5c2622f5",
"id": "B03.02",
"link": "https://learn.microsoft.com/azure/active-directory/roles/security-planning#identify-microsoft-accounts-in-administrative-roles-that-need-to-be-switched-to-work-or-school-accounts",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Utilice únicamente el tipo de autenticación Cuenta profesional o educativa para todos los tipos de cuenta. Evite usar la cuenta de Microsoft",
"training": "https://learn.microsoft.com/learn/modules/explore-basic-services-identity-types/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "4b69bad3-3aad-45e8-a68e-1d76667313b4",
"id": "B03.03",
"link": "https://learn.microsoft.com/azure/active-directory/fundamentals/active-directory-groups-create-azure-portal",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Utilice solo grupos para asignar permisos. Agregue grupos locales al grupo Solo ID de Entra si ya existe un sistema de administración de grupos.",
"training": "https://learn.microsoft.com/learn/paths/manage-identity-and-access/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "53e8908a-e28c-484c-93b6-b7808b9fe5c4",
"id": "B03.04",
"link": "https://learn.microsoft.com/azure/active-directory/conditional-access/overview",
"service": "Entra",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Aplique directivas de acceso condicional de identificador de Microsoft Entra para cualquier usuario con derechos en entornos de Azure.",
"training": "https://learn.microsoft.com/learn/modules/plan-implement-administer-conditional-access/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "1049d403-a923-4c34-94d0-0018ac6a9e01",
"id": "B03.05",
"link": "https://learn.microsoft.com/azure/active-directory/authentication/concept-mfa-howitworks",
"service": "Entra",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Aplique la autenticación multifactor para cualquier usuario con derechos en los entornos de Azure.",
"training": "https://learn.microsoft.com/entra/identity/authentication/concept-mandatory-multifactor-authentication",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "e6a83de5-de32-4c19-a248-1607d5d1e4e6",
"id": "B03.06",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/manage/centralize-operations",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Aplique responsabilidades centralizadas y delegadas para administrar los recursos implementados dentro de la zona de aterrizaje, en función de los requisitos de rol y seguridad.",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "14658d35-58fd-4772-99b8-21112df27ee4",
"id": "B03.07",
"link": "https://learn.microsoft.com/azure/active-directory/privileged-identity-management/pim-configure",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Aplique la administración de identidades privilegiadas (PIM) de Microsoft Entra ID para establecer el acceso permanente cero y el privilegio mínimo.",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "1559ab91-53e8-4908-ae28-c84c33b6b780",
"id": "B03.09",
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain#vm-recommendations",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Al implementar controladores de dominio de Active Directory, use una ubicación con zonas de disponibilidad e implemente al menos dos máquinas virtuales en estas zonas. Si no está disponible, impleméntelo en un conjunto de disponibilidad.",
"training": "https://learn.microsoft.com/learn/modules/azure-active-directory/",
"waf": "Fiabilidad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "e8aa1e41-870d-4968-94c6-77be14f510ac",
"id": "B03.10",
"link": "https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/considerations/regions#identity",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Implemente los recursos de identidad de la zona de aterrizaje de Azure en varias regiones. Si usa controladores de dominio, asocie cada región con un sitio de Active Directory para que los recursos puedan resolverse en sus controladores de dominio locales.",
"training": "https://learn.microsoft.com/learn/modules/azure-active-directory/",
"waf": "Fiabilidad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "f5664b5e-984a-4859-a773-e7d261623a76",
"id": "B03.11",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access#prerequisites-for-a-landing-zone---design-recommendations",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Use roles RBAC personalizados de Azure para los siguientes roles clave a fin de proporcionar acceso específico en toda la ALZ: propietario de la plataforma Azure, administración de red, operaciones de seguridad, propietario de la suscripción, propietario de la aplicación. Alinea estos roles con los equipos y las responsabilidades dentro de tu empresa.",
"training": "https://learn.microsoft.com/learn/modules/create-custom-azure-roles-with-rbac/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "8b9fe5c4-1049-4d40-9a92-3c3474d00018",
"id": "B03.12",
"link": "https://learn.microsoft.com/entra/identity/domain-services/overview",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Si planea cambiar de Servicios de dominio de Active Directory a Servicios de dominio Entra, evalúe la compatibilidad de todas las cargas de trabajo.",
"training": "https://learn.microsoft.com/learn/modules/implement-hybrid-identity-windows-server/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"graph": "resources | where type == 'microsoft.aad/domainservices' | extend replicaSets = properties.replicaSets | where array_length(replicaSets) < 2 | project name=name, id=id, tags=tags, param1=strcat('replicaSetLocation:', replicaSets[0].location)",
"guid": "0dd4e625-9c4b-4a56-b54a-4357bac12761",
"id": "B03.13",
"link": "https://learn.microsoft.com/entra/identity/domain-services/overview",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Al usar Microsoft Entra Domain Services, use conjuntos de réplicas. Los conjuntos de réplicas mejorarán la resistencia del dominio administrado y le permitirán implementarlos en regiones adicionales. ",
"training": "https://learn.microsoft.com/training/modules/understand-azure-active-directory/6-examine-azure-domain-services",
"waf": "Fiabilidad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "1cf0b8da-70bd-44d0-94af-8d99cfc89ae1",
"id": "B03.14",
"link": "https://learn.microsoft.com/azure/active-directory/reports-monitoring/concept-activity-logs-azure-monitor",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Integre los registros de identificador de Microsoft Entra con Azure Monitor central de la plataforma. Azure Monitor permite una única fuente de verdad en torno a los datos de registro y supervisión en Azure, lo que proporciona a las organizaciones opciones nativas en la nube para cumplir los requisitos relacionados con la recopilación y retención de registros.",
"training": "https://learn.microsoft.com/entra/identity/monitoring-health/howto-integrate-activity-logs-with-azure-monitor-logs",
"waf": "Seguridad"
},
{
"ammp": true,
"category": "Gestión de identidades y accesos",
"guid": "984a859c-773e-47d2-9162-3a765a917e1f",
"id": "B03.15",
"link": "https://learn.microsoft.com/azure/active-directory/roles/security-emergency-access",
"service": "Entra",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Implemente un acceso de emergencia o rompa las cuentas para evitar el bloqueo de cuentas en todo el inquilino. MFA se activará de forma predeterminada para todos los usuarios en octubre de 2024. Recomendamos actualizar estas cuentas para usar la clave de paso (FIDO2) o configurar la autenticación basada en certificados para MFA. ",
"training": "https://learn.microsoft.com/entra/identity/role-based-access-control/security-emergency-access#exclude-at-least-one-account-from-conditional-access-policies",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "cd163e39-84a5-4b39-97b7-6973abd70d94",
"id": "B03.16",
"link": "https://learn.microsoft.com/azure/active-directory/hybrid/how-to-connect-sync-staging-server",
"severity": "Medio",
"subcategory": "Id. de Microsoft Entra",
"text": "Al implementar Microsoft Entra Connect, use un servidor de ensayo para la alta disponibilidad o la recuperación ante desastres.",
"training": "https://learn.microsoft.com/entra/identity/hybrid/connect/plan-connect-topologies",
"waf": "Fiabilidad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "35037e68-9349-4c15-b371-228514f4cdff",
"id": "B03.17",
"link": "https://learn.microsoft.com/azure/active-directory/roles/best-practices",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "No use cuentas sincronizadas locales para las asignaciones de roles de identificador de Microsoft Entra, a menos que tenga un escenario que lo requiera específicamente.",
"training": "https://learn.microsoft.com/learn/modules/design-identity-security-strategy/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "d5d1e4e6-1465-48d3-958f-d77249b82111",
"id": "B03.18",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy",
"service": "Entra",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Al usar el proxy de aplicación de Microsoft Entra ID para proporcionar a los usuarios remotos acceso a las aplicaciones, adminístrelo como un recurso de plataforma, ya que solo puede tener una instancia por inquilino.",
"training": "https://learn.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "9cf5418b-1520-4b7b-add7-88eb28f833e8",
"id": "B04.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access-landing-zones#identity-and-access-management-in-the-azure-landing-zone-accelerator",
"severity": "Alto",
"subcategory": "Zonas de aterrizaje",
"text": "Configure la segmentación de la red de identidad mediante el uso de una red virtual y el emparejamiento con el centro. Proporcionar autenticación dentro de la zona de aterrizaje de la aplicación (heredada).",
"training": "https://learn.microsoft.com/azure/architecture/example-scenario/identity/adds-extend-domain",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "d4d1ad54-1abc-4919-b267-3f342d3b49e4",
"id": "B04.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access-landing-zones#rbac-recommendations",
"severity": "Medio",
"subcategory": "Zonas de aterrizaje",
"text": "Use Azure RBAC para administrar el acceso del plano de datos a los recursos, si es posible. Por ejemplo, operaciones de datos en Key Vault, cuentas de almacenamiento y servicios de base de datos.",
"training": "https://learn.microsoft.com/azure/role-based-access-control/overview",
"waf": "Seguridad"
},
{
"category": "Gestión de identidades y accesos",
"guid": "d505ebcb-79b1-4274-9c0d-a27c8bea489c",
"id": "B04.03",
"link": "https://learn.microsoft.com/azure/active-directory/privileged-identity-management/pim-create-roles-and-resource-roles-review",
"severity": "Medio",
"subcategory": "Zonas de aterrizaje",
"text": "Use las revisiones de acceso PIM de ID de Microsoft Entra para validar periódicamente los derechos de recursos.",
"training": "https://learn.microsoft.com/entra/id-governance/privileged-identity-management/pim-perform-roles-and-resource-roles-review",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"description": "Considere la posibilidad de usar la herramienta de nomenclatura de Azure disponible en https://aka.ms/azurenamingtool",
"guid": "cacf55bc-e4e4-46be-96bc-57a5f23a269a",
"id": "C01.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/resource-naming",
"severity": "Alto",
"subcategory": "Nomenclatura y etiquetado",
"text": "Use un esquema de nomenclatura bien definido para los recursos, como los estándares de nomenclatura de procedimientos recomendados de Microsoft.",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"graph": "resourcecontainers| where type == 'microsoft.resources/subscriptions'| extend ManagementGroup = tostring(tags),mgmtChain = properties.managementGroupAncestorsChain| extend compliant =( array_length(mgmtChain) <= 4 and array_length(mgmtChain) > 1)",
"guid": "2df27ee4-12e7-4f98-9f63-04722dd69c5b",
"id": "C02.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Aplique una jerarquía de grupos de administración razonablemente plana con no más de cuatro niveles.",
"training": "https://learn.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "667313b4-f566-44b5-b984-a859c773e7d2",
"id": "C02.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Aplique un grupo de administración de espacio aislado para permitir que los usuarios experimenten inmediatamente con Azure.",
"training": "https://learn.microsoft.com/learn/paths/enterprise-scale-architecture/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "61623a76-5a91-47e1-b348-ef254c27d42e",
"id": "C02.03",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Aplique un grupo de administración de plataforma en el grupo de administración raíz para admitir la directiva de plataforma común y la asignación de roles de Azure.",
"training": "https://learn.microsoft.com/learn/paths/enterprise-scale-architecture/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "8bbac757-1559-4ab9-853e-8908ae28c84c",
"id": "C02.04",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Aplique una suscripción de conectividad dedicada en el grupo de administración de conectividad para hospedar un centro de conectividad de Azure Virtual WAN, un sistema de nombres de dominio (DNS) privado que no sea de AD, un circuito ExpressRoute y otros recursos de red.",
"training": "https://learn.microsoft.com/learn/paths/enterprise-scale-architecture/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"graph": "resourcecontainers| where type == 'microsoft.resources/subscriptions'| extend ManagementGroup = tostring(tags),mgmtChain = properties.managementGroupAncestorsChain| extend compliant = (array_length(mgmtChain) > 1)",
"guid": "33b6b780-8b9f-4e5c-9104-9d403a923c34",
"id": "C02.05",
"link": "https://learn.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---default-management-group",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Exigir que no se coloquen suscripciones en el grupo de administración raíz.",
"training": "https://learn.microsoft.com/azure/governance/management-groups/overview",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "74d00018-ac6a-49e0-8e6a-83de5de32c19",
"id": "C02.06",
"link": "https://learn.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---require-authorization",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Exija que solo los usuarios con privilegios puedan operar grupos de administración en el inquilino habilitando la autorización de RBAC de Azure en la configuración de la jerarquía del grupo de administración.",
"training": "https://learn.microsoft.com/training/modules/configure-role-based-access-control/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "92481607-d5d1-4e4e-9146-58d3558fd772",
"id": "C02.07",
"link": "https://learn.microsoft.com/azure/governance/management-groups/overview",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Aplique grupos de administración en el grupo de administración de nivel raíz para representar los tipos de cargas de trabajo, en función de sus necesidades de seguridad, cumplimiento, conectividad y características.",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "49b82111-2df2-47ee-912e-7f983f630472",
"id": "C02.08",
"link": "https://learn.microsoft.com/entra/id-governance/access-reviews-overview",
"severity": "Alto",
"subcategory": "Suscripciones",
"text": "Aplique un proceso para que los propietarios de recursos sean conscientes de sus funciones y responsabilidades, revisión de acceso, revisión de presupuesto, cumplimiento de políticas y corrección cuando sea necesario.",
"training": "https://learn.microsoft.com/training/modules/plan-implement-manage-access-review/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "2dd69c5b-5c26-422f-94b6-9bad33aad5e8",
"id": "C02.09",
"link": "https://learn.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Asegúrese de que todos los propietarios de suscripciones y el equipo central de TI conozcan las cuotas de suscripción y el impacto que tienen en el aprovisionamiento de recursos para una suscripción determinada.",
"training": "https://learn.microsoft.com/training/modules/configure-subscriptions/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "c68e1d76-6673-413b-9f56-64b5e984a859",
"id": "C02.10",
"link": "https://learn.microsoft.com/azure/cost-management-billing/reservations/save-compute-costs-reservations",
"severity": "Alto",
"subcategory": "Suscripciones",
"text": "Utilice instancias reservadas cuando corresponda para optimizar el costo y garantizar la capacidad disponible en las regiones de destino.",
"training": "https://learn.microsoft.com/learn/paths/improve-reliability-modern-operations/",
"waf": "Seguridad"
},
{
"ammp": true,
"category": "Organización de recursos",
"guid": "c773e7d2-6162-43a7-95a9-17e1f348ef25",
"id": "C02.11",
"link": "https://learn.microsoft.com/azure/azure-portal/azure-portal-dashboards",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Establezca paneles y/o visualizaciones para supervisar las métricas de capacidad de cómputo y almacenamiento. (es decir, CPU, memoria, espacio en disco)",
"training": "https://learn.microsoft.com/training/modules/visualize-data-workbooks/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "ae28c84c-33b6-4b78-88b9-fe5c41049d40",
"id": "C02.12",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/get-started/manage-costs",
"severity": "Alto",
"subcategory": "Suscripciones",
"text": "Como parte de su adopción de la nube, implemente un plan de administración de costos detallado mediante el proceso \"Costos administrados de la nube\".",
"training": "https://learn.microsoft.com/learn/paths/control-spending-manage-bills/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "3a923c34-74d0-4001-aac6-a9e01e6a83de",
"id": "C02.13",
"link": "https://learn.microsoft.com/azure/governance/management-groups/overview",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Si los servidores se van a usar para los servicios de identidad, como los controladores de dominio, establezca una suscripción de identidad dedicada en el grupo de administración de identidades para hospedar estos servicios. Asegúrese de que los recursos están configurados para usar los controladores de dominio disponibles en su región.",
"training": "https://learn.microsoft.com/learn/paths/enterprise-scale-architecture/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"graph": "resources | extend compliant = isnotnull(['tags']) | project name, id, subscriptionId, resourceGroup, tags, compliant",
"guid": "5de32c19-9248-4160-9d5d-1e4e614658d3",
"id": "C02.14",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/track-costs",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "Asegúrese de que las etiquetas se utilicen para la facturación y la administración de costos.",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "6cc0ea22-42bb-441e-a345-804ab0a09666",
"id": "C02.15",
"link": "https://github.com/Azure/sovereign-landing-zone/blob/main/docs/02-Architecture.md",
"severity": "Medio",
"subcategory": "Suscripciones",
"text": "En el caso de la zona de aterrizaje soberana, tener un grupo de gestión de \"corporación confidencial\" y \"confidencial en línea\" directamente debajo de las \"zonas de aterrizaje\" MG.",
"training": "https://learn.microsoft.com/industry/sovereignty/slz-overview",
"waf": "Seguridad"
},
{
"category": "Organización de recursos",
"guid": "250d81ce-8bbe-4f85-9051-6a18a8221e50",
"id": "C03.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/regions",
"severity": "Alto",
"subcategory": "Regiones",
"text": "Seleccione las regiones de Azure adecuadas para su implementación. Azure es una plataforma en la nube a escala global que proporciona cobertura global a través de muchas regiones y geografías. Las diferentes regiones de Azure tienen diferentes características, modelos de acceso y disponibilidad, costos, capacidad y servicios ofrecidos, por lo que es importante tener en cuenta todos los criterios y requisitos.",
"training": "https://learn.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"waf": "Fiabilidad"
},
{
"category": "Organización de recursos",
"guid": "19ca3f89-397d-44b1-b5b6-5e18661372ac",
"id": "C03.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/regions#operate-in-multiple-geographic-regions",
"severity": "Medio",
"subcategory": "Regiones",
"text": "Implemente la zona de aterrizaje de Azure en una implementación de varias regiones. En función del tamaño del cliente, las ubicaciones y la presencia de usuarios, operar en varias regiones puede ser una opción común para prestar servicios y ejecutar aplicaciones más cerca de ellos. El uso de una implementación de varias regiones también es importante para proporcionar capacidades de recuperación ante desastres geográficas, para eliminar la dependencia de la capacidad de una sola región y disminuir el riesgo de una restricción temporal y localizada de la capacidad de los recursos.",
"training": "https://learn.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"waf": "Fiabilidad"
},
{
"category": "Organización de recursos",
"guid": "4c27d42e-8bba-4c75-9155-9ab9153e8908",
"id": "C03.03",
"link": "https://azure.microsoft.com/explore/global-infrastructure/products-by-region/",
"severity": "Medio",
"subcategory": "Regiones",
"text": "Asegúrese de que los servicios y características necesarios estén disponibles en las regiones de implementación elegidas.",
"training": "https://learn.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"guid": "373f482f-3e39-4d39-8aa4-7e566f6082b6",
"id": "D01.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-app-delivery",
"severity": "Medio",
"subcategory": "Entrega de aplicaciones",
"text": "Documente un estándar para proteger el contenido de la aplicación de entrega de los radios de carga de trabajo mediante Application Gateway y Azure Front Door. Puede utilizar la lista de comprobación de entrega de aplicaciones para obtener recomendaciones.",
"waf": "Operaciones"
},
{
"category": "Topología de red y conectividad",
"guid": "e8bbac75-7155-49ab-a153-e8908ae28c84",
"id": "D01.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/enterprise-scale/network-topology-and-connectivity",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Utilice una topología de red en estrella tipo hub-and-spoke para escenarios de red que requieran la máxima flexibilidad.",
"training": "https://learn.microsoft.com/learn/paths/architect-network-infrastructure/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "7dd61623-a364-4a90-9eca-e48ebd54cd7d",
"id": "D01.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/traditional-azure-networking-topology",
"service": "VNet",
"severity": "Alto",
"subcategory": "Cubo y radio",
"text": "Implemente servicios de red compartidos, incluidas puertas de enlace de ExpressRoute, puertas de enlace de VPN y Azure Firewall o aplicaciones virtuales de red de asociados en la red virtual del centro central. Si es necesario, implemente también los servicios DNS.",
"training": "https://learn.microsoft.com/training/modules/hub-and-spoke-network-architecture/",
"waf": "Costar"
},
{
"category": "Topología de red y conectividad",
"guid": "143b16c3-1d7a-4a9b-9470-4489a8042d88",
"id": "D01.03",
"link": "https://learn.microsoft.com/azure/ddos-protection/ddos-protection-overview",
"service": "VNet",
"severity": "Alto",
"subcategory": "Entrega de aplicaciones",
"text": "Utilice una red DDoS o un plan de protección de IP para todas las direcciones IP públicas en las zonas de aterrizaje de aplicaciones.",
"training": "https://learn.microsoft.com/learn/paths/secure-networking-infrastructure/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "e2e8abac-3571-4559-ab91-53e89f89dc7b",
"id": "D01.03",
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/dmz/nva-ha",
"service": "NVA",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Al implementar tecnologías de redes de asociados o NVA, siga las instrucciones del proveedor del asociado.",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"guid": "ce463dbb-bc8a-4c2a-aebc-92a43da1dae2",
"id": "D01.04",
"link": "https://learn.microsoft.com/azure/expressroute/expressroute-howto-coexist-resource-manager#to-enable-transit-routing-between-expressroute-and-azure-vpn",
"service": "ExpressRoute",
"severity": "Bajo",
"subcategory": "Cubo y radio",
"text": "Si necesita tránsito entre ExpressRoute y puertas de enlace de VPN en escenarios tipo hub-and-spoke, use Azure Route Server.",
"training": "https://learn.microsoft.com/training/modules/intro-to-azure-route-server/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type=='microsoft.network/virtualnetworks' | project id,subnets=properties.subnets | mv-expand subnets | project id, subnetName = subnets.name, subnetPrefix = subnets.properties.addressPrefix | extend subnetPrefixLength = split(subnetPrefix, '/')[1] | where subnetName == 'RouteServerSubnet' | extend compliant = (subnetPrefixLength <= 27) | distinct id, compliant",
"guid": "91b9d7d5-91e1-4dcb-8f1f-fa7e465646cc",
"id": "D01.05",
"link": "https://learn.microsoft.com/azure/route-server/quickstart-configure-route-server-portal#create-a-route-server-1",
"service": "ARS",
"severity": "Bajo",
"subcategory": "Cubo y radio",
"text": "Si utiliza el servidor de rutas, utilice un prefijo /27 para la subred del servidor de rutas.",
"training": "https://learn.microsoft.com/training/modules/intro-to-azure-route-server/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "cc881471-607c-41cc-a0e6-14658dd558f9",
"id": "D01.06",
"link": "https://learn.microsoft.com/azure/virtual-network/virtual-networks-faq#can-i-create-a-peering-connection-to-a-vnet-in-a-different-region",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "En el caso de las arquitecturas de red con varias topologías en estrella tipo hub-and-spoke en regiones de Azure, use emparejamientos de red virtual global entre las redes virtuales del centro para conectar las regiones entre sí.",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-virtual-networks/",
"waf": "Rendimiento"
},
{
"category": "Topología de red y conectividad",
"guid": "4722d929-c1b1-4cd6-81f5-4b29bade39ad",
"id": "D01.07",
"link": "https://learn.microsoft.com/azure/azure-monitor/insights/network-insights-overview",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Use Azure Monitor para redes para supervisar el estado de un extremo a otro de las redes de Azure.",
"training": "https://learn.microsoft.com/learn/modules/design-implement-network-monitoring/",
"waf": "Operaciones"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type == 'microsoft.network/virtualnetworks' | mvexpand properties.virtualNetworkPeerings | summarize peeringcount = count() by id | extend compliant = (peeringcount < 450) | distinct id,compliant",
"guid": "0e7c28ec-9366-4572-83b0-f4664b1d944a",
"id": "D01.08",
"link": "https://learn.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#azure-resource-manager-virtual-networking-limits",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Si tiene más de 400 redes radiales en una región, implemente un centro adicional para omitir los límites de emparejamiento de red virtual (500) y el número máximo de prefijos que se pueden anunciar a través de ExpressRoute (1000).",
"training": "https://learn.microsoft.com/training/modules/hub-and-spoke-network-architecture/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type=='microsoft.network/routetables' | mvexpand properties.routes | summarize routeCount = count() by id | extend compliant = (routeCount < 360) | distinct id,compliant",
"guid": "3d457936-e9b7-41eb-bdff-314b26450b12",
"id": "D01.09",
"link": "https://learn.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#azure-resource-manager-virtual-networking-limits",
"service": "VNet",
"severity": "Medio",
"subcategory": "Cubo y radio",
"text": "Limite el número de rutas por tabla de rutas a 400.",
"training": "https://learn.microsoft.com/training/modules/hub-and-spoke-network-architecture/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type == 'microsoft.network/virtualnetworks' | mvexpand properties.virtualNetworkPeerings | project id, peeringName=properties_virtualNetworkPeerings.name, compliant = (properties_virtualNetworkPeerings.properties.allowVirtualNetworkAccess == True)",
"guid": "c76cb5a2-abe2-11ed-afa1-0242ac120002",
"id": "D01.10",
"link": "https://learn.microsoft.com/azure/virtual-network/virtual-network-manage-peering",
"service": "VNet",
"severity": "Alto",
"subcategory": "Cubo y radio",
"text": "Use la opción \"Permitir tráfico a la red virtual remota\" al configurar emparejamientos de red virtual.",
"training": "https://learn.microsoft.com/training/modules/hub-and-spoke-network-architecture/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type == 'microsoft.network/loadbalancers' | where tolower(sku.name) != 'basic' | mv-expand feIPconfigs = properties.frontendIPConfigurations | extend feConfigName = (feIPconfigs.name), PrivateSubnetId = toupper(feIPconfigs.properties.subnet.id), PrivateIPZones = feIPconfigs.zones, PIPid = toupper(feIPconfigs.properties.publicIPAddress.id), JoinID = toupper(id) | where isnotempty(PrivateSubnetId) | where isnull(PrivateIPZones) or array_length(PrivateIPZones) < 2 | project name, feConfigName, id | union (resources | where type == 'microsoft.network/loadbalancers' | where tolower(sku.name) != 'basic' | mv-expand feIPconfigs = properties.frontendIPConfigurations | extend feConfigName = (feIPconfigs.name), PIPid = toupper(feIPconfigs.properties.publicIPAddress.id), JoinID = toupper(id) | where isnotempty(PIPid) | join kind=innerunique ( resources | where type == 'microsoft.network/publicipaddresses' | where isnull(zones) or array_length(zones) < 2 | extend LBid = toupper(substring(properties.ipConfiguration.id, 0, indexof(properties.ipConfiguration.id, '/frontendIPConfigurations'))), InnerID = toupper(id) ) on $left.PIPid == $right.InnerID) | project name, id, tags, param1='Zones: No Zone or Zonal', param2=strcat('Frontend IP Configuration:', ' ', feConfigName)",
"guid": "9dcd6250-9c4a-4382-aa9b-5b84c64fc1fe",
"id": "D01.11",
"link": "https://learn.microsoft.com/en-us/azure/reliability/reliability-load-balancer?tabs=graph#zone-redundant",
"service": "Load Balancer",
"severity": "Alto",
"subcategory": "Cubo y radio",
"text": "Uso de SKU de Standard Load Balancer con una implementación con redundancia de zona, la selección de Standard SKU Load Balancer mejora la confiabilidad a través de zonas de disponibilidad y resistencia de zona, lo que garantiza que las implementaciones resistan errores de zona y región. A diferencia de Basic, admite el equilibrio de carga global y ofrece un SLA.",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type =~ 'Microsoft.Network/loadBalancers' | extend bep = properties.backendAddressPools | extend BackEndPools = array_length(bep) | where BackEndPools == 0 | project name, id, Param1='backendPools', Param2=toint(0), tags | union (resources | where type =~ 'Microsoft.Network/loadBalancers' | where sku.name == 'Standard' | extend bep = properties.backendAddressPools | extend BackEndPools = toint(array_length(bep)) | mv-expand bip = properties.backendAddressPools | extend BackendAddresses = array_length(bip.properties.loadBalancerBackendAddresses) | where toint(BackendAddresses) <= 1 | project name, id, tags, Param1='backendAddresses', Param2=toint(BackendAddresses)) | union ( resources | where type =~ 'Microsoft.Network/loadBalancers' | where sku.name == 'Basic' | mv-expand properties.backendAddressPools | extend backendPoolId = properties_backendAddressPools.id | project id, name, tags, tostring(backendPoolId), Param1='BackEndPools' | join kind = leftouter ( resources | where type =~ 'Microsoft.Network/networkInterfaces' | mv-expand properties.ipConfigurations | mv-expand properties_ipConfigurations.properties.loadBalancerBackendAddressPools | extend backendPoolId = tostring(properties_ipConfigurations_properties_loadBalancerBackendAddressPools.id) | summarize poolMembers = count() by backendPoolId | project tostring(backendPoolId), poolMembers ) on backendPoolId | where toint(poolMembers) <= 1 | extend BackendAddresses = poolMembers | project id, name, tags, Param1='backendAddresses', Param2=toint(BackendAddresses))",
"guid": "48682fb1-1e86-4458-a686-518ebd47393d",
"id": "D01.12",
"link": "https://learn.microsoft.com/en-us/azure/reliability/reliability-load-balancer?tabs=graph#zone-redundant",
"service": "Load Balancer",
"severity": "Alto",
"subcategory": "Cubo y radio",
"text": "Asegúrese de que los grupos de back-end del equilibrador de carga contengan al menos dos instancias, La implementación de Azure Load Balancers con al menos dos instancias en el back-end evita un único punto de error y admite la escalabilidad.",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"guid": "de0d5973-cd4c-4d21-a088-137f5e6c4cfd",
"id": "D02.01",
"link": "https://learn.microsoft.com/azure/expressroute/expressroute-howto-macsec",
"service": "ExpressRoute",
"severity": "Medio",
"subcategory": "Encriptación",
"text": "Cuando use ExpressRoute Direct, configure MACsec para cifrar el tráfico en el nivel de capa dos entre los enrutadores de la organización y MSEE. El diagrama muestra este cifrado en el flujo.",
"training": "https://learn.microsoft.com/training/modules/design-implement-azure-expressroute/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "ed301d6e-872e-452e-9611-cc58b5a4b151",
"id": "D02.02",
"link": "https://learn.microsoft.com/azure/vpn-gateway/site-to-site-vpn-private-peering",
"service": "ExpressRoute",
"severity": "Medio",
"subcategory": "Encriptación",
"text": "En escenarios en los que MACsec no es una opción (por ejemplo, no usar ExpressRoute Direct), use una puerta de enlace de VPN para establecer túneles IPsec a través del emparejamiento privado de ExpressRoute.",
"training": "https://learn.microsoft.com/learn/paths/implement-network-security/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "558fd772-49b8-4211-82df-27ee412e7f98",
"id": "D03.01",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing",
"service": "ExpressRoute",
"severity": "Alto",
"subcategory": "Plan de PI",
"text": "Asegúrese de que no se usen espacios de direcciones IP superpuestos entre las regiones de Azure y las ubicaciones locales.",
"training": "https://learn.microsoft.com/learn/paths/architect-network-infrastructure/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type == 'microsoft.network/virtualnetworks' | extend addressSpace = todynamic(properties.addressSpace) | extend addressPrefix = todynamic(properties.addressSpace.addressPrefixes) | mvexpand addressSpace | mvexpand addressPrefix | project name, id, location, resourceGroup, subscriptionId, cidr = addressPrefix | extend compliant = (cidr matches regex @'^(10\\\\.|172\\\\.(1[6-9]|2[0-9]|3[01])\\\\.|192\\\\.168\\\\.)') | project id, compliant, cidr",
"guid": "3f630472-2dd6-49c5-a5c2-622f54b69bad",
"id": "D03.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing",
"service": "VNet",
"severity": "Medio",
"subcategory": "Plan de PI",
"text": "Utilice las direcciones IP de los rangos de asignación de direcciones para Internet privadas (RFC 1918).",
"training": "https://learn.microsoft.com/learn/paths/architect-network-infrastructure/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type == 'microsoft.network/virtualnetworks' | extend addressSpace = todynamic(properties.addressSpace) | extend addressPrefix = todynamic(properties.addressSpace.addressPrefixes) | mvexpand addressSpace | mvexpand addressPrefix | extend addressMask = split(addressPrefix,'/')[1] | extend compliant = addressMask > 16 | project name, id, subscriptionId, resourceGroup, addressPrefix, compliant",
"guid": "33aad5e8-c68e-41d7-9667-313b4f5664b5",
"id": "D03.03",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing",
"service": "VNet",
"severity": "Alto",
"subcategory": "Plan de PI",
"text": "Asegúrese de que no se desperdicie el espacio de direcciones IP, no cree redes virtuales innecesariamente grandes (por ejemplo, /16).",
"training": "https://learn.microsoft.com/learn/paths/architect-network-infrastructure/",
"waf": "Rendimiento"
},
{
"category": "Topología de red y conectividad",
"guid": "f348ef25-4c27-4d42-b8bb-ac7571559ab9",
"id": "D03.04",
"link": "https://learn.microsoft.com/azure/site-recovery/concepts-on-premises-to-azure-networking#retain-ip-addresses",
"service": "VNet",
"severity": "Alto",
"subcategory": "Plan de PI",
"text": "No utilice intervalos de direcciones IP superpuestos para los sitios de producción y recuperación ante desastres.",
"training": "https://learn.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"graph": "Resources | where type =~ 'Microsoft.Network/publicIPAddresses' and sku.tier =~ 'Regional' | where isempty(zones) or array_length(zones) <= 1 | extend az = case(isempty(zones), 'Non-zonal', array_length(zones) <= 1, strcat('Zonal (', strcat_array(zones, ','), ')'), zones) | project name, id, tags, param1 = strcat('sku: ', sku.name), param2 = strcat('availabilityZone: ', az)",
"guid": "0c47f486-656d-4699-8c30-edef5b8a93c4",
"id": "D03.05",
"link": "https://learn.microsoft.com/azure/virtual-network/ip-services/public-ip-addresses#availability-zone",
"service": "Public IP Addresses",
"severity": "Alto",
"subcategory": "Plan de PI",
"text": "Use SKU estándar e IP con redundancia de zona cuando corresponda, las direcciones IP públicas de Azure pueden ser de SKU estándar, disponibles como no zonales, zonales o con redundancia de zona. Las direcciones IP con redundancia de zona son accesibles en todas las zonas, resistiendo cualquier error de una sola zona, lo que proporciona una mayor resistencia. ",
"training": "https://learn.microsoft.com/en-gb/training/modules/configure-virtual-networks/6-create-public-ip-addressing",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"guid": "153e8908-ae28-4c84-a33b-6b7808b9fe5c",
"id": "D03.06",
"link": "https://learn.microsoft.com/azure/dns/private-dns-getstarted-portal",
"service": "DNS",
"severity": "Medio",
"subcategory": "Plan de PI",
"text": "En el caso de los entornos en los que la resolución de nombres en Azure es todo lo necesario, use Azure Private DNS para la resolución con una zona delegada para la resolución de nombres (como 'azure.contoso.com').",
"training": "https://learn.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"waf": "Operaciones"
},
{
"category": "Topología de red y conectividad",
"guid": "41049d40-3a92-43c3-974d-00018ac6a9e0",
"id": "D03.07",
"link": "https://learn.microsoft.com/azure/dns/dns-private-resolver-overview",
"service": "DNS",
"severity": "Medio",
"subcategory": "Plan de PI",
"text": "En el caso de los entornos en los que se requiere la resolución de nombres en Azure y en el entorno local y no existe ningún servicio DNS empresarial como Active Directory, use Azure DNS Private Resolver para enrutar las solicitudes DNS a Azure o a servidores DNS locales.",
"training": "https://learn.microsoft.com/training/modules/intro-to-azure-dns-private-resolver/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "1e6a83de-5de3-42c1-a924-81607d5d1e4e",
"id": "D03.08",
"link": "https://learn.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances",
"service": "DNS",
"severity": "Bajo",
"subcategory": "Plan de PI",
"text": "Las cargas de trabajo especiales que requieren e implementan su propio DNS (como Red Hat OpenShift) deben usar su solución de DNS preferida.",
"training": "https://learn.microsoft.com/training/courses/az-700t00",
"waf": "Operaciones"
},
{
"category": "Topología de red y conectividad",
"guid": "614658d3-558f-4d77-849b-821112df27ee",
"id": "D03.09",
"link": "https://learn.microsoft.com/azure/dns/private-dns-autoregistration",
"service": "DNS",
"severity": "Alto",
"subcategory": "Plan de PI",
"text": "Habilite el registro automático de Azure DNS para administrar automáticamente el ciclo de vida de los registros DNS de las máquinas virtuales implementadas en una red virtual.",
"training": "https://learn.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"waf": "Operaciones"
},
{
"category": "Topología de red y conectividad",
"guid": "18c80eb0-582a-4198-bf5c-d8800b2d263b",
"id": "D03.10",
"link": "https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/private-link-and-dns-integration-at-scale#private-link-and-dns-integration-in-hub-and-spoke-network-architectures",
"service": "DNS",
"severity": "Medio",
"subcategory": "Plan de PI",
"text": "Implementación de un plan para administrar la resolución de DNS entre varias regiones de Azure y cuando los servicios conmutan por error a otra región",
"training": "https://learn.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"waf": "Fiabilidad"
},
{
"category": "Topología de red y conectividad",
"guid": "ee1ac551-c4d5-46cf-b035-d0a3c50d87ad",
"id": "D05.01",
"link": "https://learn.microsoft.com/azure/bastion/bastion-overview",
"service": "Bastion",
"severity": "Medio",
"subcategory": "Internet",
"text": "Use Azure Bastion para conectarse de forma segura a la red.",
"training": "https://learn.microsoft.com/training/modules/intro-to-azure-bastion/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"graph": "resources | where type=='microsoft.network/virtualnetworks' | project id,subnets=properties.subnets | mv-expand subnets | project id, subnetName = subnets.name, subnetPrefix = subnets.properties.addressPrefix | extend subnetPrefixLength = split(subnetPrefix, '/')[1] | where subnetName == 'AzureBastionSubnet' | extend compliant = (subnetPrefixLength <= 26) | distinct id, compliant",
"guid": "6eab9eb6-762b-485e-8ea8-15aa5dba0bd0",
"id": "D05.02",
"link": "https://learn.microsoft.com/azure/bastion/bastion-faq#subnet",
"service": "Bastion",
"severity": "Medio",
"subcategory": "Internet",
"text": "Use Azure Bastion en una subred /26 o superior.",
"training": "https://learn.microsoft.com/training/modules/intro-to-azure-bastion/",
"waf": "Seguridad"
},
{
"category": "Topología de red y conectividad",
"guid": "1d7aa9b6-4704-4489-a804-2d88e79d17b7",
"id": "D05.03",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/afds-overview",
"service": "WAF",