Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las líneas base de seguridad personalizables creadas en Azure Policy y Machine Configuration permiten a las organizaciones evaluar, supervisar y mejorar continuamente el cumplimiento de los servidores frente a pruebas comparativas del sector de confianza.
Esta funcionalidad presenta líneas base de auditoría para Windows y Linux, lo que permite a los clientes alinear la posición de seguridad con marcos de cumplimiento internos y estándares normativos. Al pasar la entrada de parámetro base personalizada directamente a Azure Policy, ahora puede representar a escala controles específicos de la organización.
Estas líneas base proporcionan una experiencia de gobernanza nativa de la nube para máquinas de Azure y máquinas que no son de Azure conectadas a través de Azure Arc. Esto incluye máquinas que se ejecutan de forma local, en otras nubes públicas o en el perímetro. Juntos, directiva y configuración de la máquina establecen un plano de control unificado para la visibilidad del cumplimiento. Este enfoque le permite evaluar, supervisar y aplicar estándares de seguridad coherentes en todo el patrimonio, independientemente de la ubicación o la plataforma. Este enfoque refleja los principios seguro por diseño y seguro de Microsoft de forma predeterminada. Ayuda a garantizar una seguridad y un cumplimiento sólidos en todas partes en las que se ejecutan las cargas de trabajo.
Escenarios principales
Personalización de configuraciones base
Cree líneas base adaptadas mediante el asistente Modificar Ajustes bajo Configuración de la Máquina de > Directivas. Los administradores pueden habilitar, excluir o ajustar reglas de las pruebas comparativas del sector (como cis Benchmarks o líneas base de Microsoft) para que coincidan con los estándares internos. Cada personalización crea un archivo JSON descargable que captura la intención de configuración, un artefacto reutilizable compatible con los flujos de trabajo de directiva como código.
Asignar directivas de auditoría
Azure Policy implementa los parámetros de línea base personalizados en máquinas conectadas a Azure y Arc. Al asignar una directiva de auditoría, Azure Policy:
- Evalúa los estados de configuración con respecto a las pruebas comparativas seleccionadas.
- Informes de cumplimiento en tiempo real
- Expone los hallazgos en Azure Policy, Azure Resource Graph (ARG) y la vista Asignaciones de invitado
Integración y automatización
Integre líneas base en canalizaciones de CI/CD o flujos de trabajo de administración de configuración. Cada línea base genera un catálogo de configuración declarativo (JSON) que se puede controlar y implementar mediante la CLI, ARM o plantillas de Bicep, lo que garantiza configuraciones de cumplimiento reproducibles entre entornos.
Estándares compatibles
| Standard | Descripción |
|---|---|
| Centro de Seguridad de Internet (CIS) Benchmarks para Linux | CIS Benchmarks oficiales para todas las distribuciones de Linux respaldadas por Azure en igualdad con lo publicado en el sitio web de CIS. |
| Línea de base de seguridad de cómputo de Azure para Windows | Aplica valores personalizados para Windows Server 2022 y Windows Server 2025. |
| Línea de base de seguridad de Cómputo de Azure para Linux | Aplica controles de seguridad coherentes alineados con la guía de Azure Compute. |
Disponibilidad
Se admiten todas las regiones públicas de Azure.
Nota:
El soporte para Azure Government y nubes soberanas no está disponible para la versión preliminar pública.
Introducción
Información general del proceso
La experiencia de un extremo a otro para configurar líneas base de seguridad personalizables sigue estos pasos generales:
Seleccione una línea base en la hoja Configuración de la máquina en Azure Policy.
Modificar la configuración: habilite, excluya o parametrice las reglas para que coincidan con los requisitos internos.
Descargue el archivo JSON que representa la línea base configurada.
Asigne la directiva de línea base mediante Azure Portal, la CLI o la integración de CI/CD.
Revise los resultados de cumplimiento a través de Azure Policy, Azure Resource Graph o la página Asignaciones de invitados.
Prerrequisitos
Se debe implementar la iniciativa de directiva de requisitos previos de Azure Machine Configuration. La funcionalidad habilita las directivas de configuración de invitado e instala la extensión necesaria en máquinas virtuales (VM).
Una suscripción o un grupo de administración de Azure que contiene máquinas virtuales Windows y Linux compatibles.
Permisos suficientes para crear y asignar definiciones de políticas personalizadas (roles de propietario o colaborador de políticas de recursos).
Pasos siguientes
- Implementar una asignación de directiva básica
- Especificación de parámetros personalizados para la directiva de línea base
- Descripción del formato JSON de línea base
- Visualización de los informes de cumplimiento de la configuración de máquinas
- Detección y asignación de directivas de configuración de máquinas integradas