Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Esta línea base de seguridad se basa en una versión anterior de Microsoft Cloud Security Benchmark (v1.0). Para obtener instrucciones de seguridad actuales para Data Factory, consulte Protección de Azure Data Factory.
Esta línea de base de seguridad aplica la guía del benchmark de seguridad en la nube de Microsoft versión 1.0 a Data Factory. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Data Factory.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se enumerarán en la sección Cumplimiento Normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Data Factory. Para ver cómo Data Factory se asigna completamente a la referencia comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de base de referencia de seguridad de Data Factory.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Data Factory, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría de productos | Análisis, integración |
| El cliente puede acceder a HOST / OS | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente | Cierto |
| Almacena contenido de clientes cuando está inactivo | Cierto |
Seguridad de las redes
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Redes Virtuales
Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de funcionalidades: El Integration Runtime de SSIS de Azure admite la inyección de una Red Virtual en la Red Virtual del cliente. Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permitirá a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o permitir que Azure Data Factory cree una para usted. El entorno de ejecución de integración (IR) autohospedado se puede configurar en una máquina virtual IaaS dentro de la red virtual del cliente. El tráfico de red también se rige por la configuración de NSG y firewall del cliente.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Conectar Azure-SSIS Integration Runtime a una red virtual
Soporte para grupos de seguridad de red
Descripción: El tráfico de la red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de funcionalidades: El Integration Runtime de SSIS de Azure admite la inyección de una Red Virtual en la Red Virtual del cliente. Se rige por todas las reglas de firewall y NSG establecidas por el cliente en su red virtual. Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permitirá a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o hacer que Azure Data Factory cree una para usted. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso.
El entorno de ejecución de integración (IR) autohospedado se puede configurar en una máquina virtual IaaS dentro de la red virtual del cliente. El tráfico de red también se rige por la configuración de NSG y firewall del cliente.
En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, puede ser una regla muy segura que deniegue el acceso de forma predeterminada.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Conectar Azure-SSIS Integration Runtime a una red virtual
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía adicional: puede configurar puntos de conexión privados en La red virtual administrada de Azure Data Factory para conectarse a almacenes de datos de forma privada.
Data Factory no permite configurar puntos de conexión de servicio de red virtual.
Cuando crea una instancia de Azure-SSIS Integration Runtime (IR), tiene la opción de unirla a una red virtual. Esto permite a Azure Data Factory crear determinados recursos de red, como un grupo de seguridad de red y un equilibrador de carga. También puede proporcionar su propia dirección IP pública estática o permitir que Azure Data Factory cree una para usted. En el NSG que Azure Data Factory crea automáticamente, el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Bloquee el puerto para asegurarse de que solo los administradores tienen acceso. Puede implementar IR autohospedados en una máquina del entorno local o en una máquina virtual de Azure dentro de una red virtual. Asegúrese de que la implementación de la subred de la red virtual tenga un grupo de seguridad de red configurado para permitir únicamente el acceso de los administradores. Como medida de protección, Azure-SSIS IR no permite la salida por el puerto 3389 de forma predeterminada en la regla de Firewall de Windows de cada nodo de IR. Puede proteger los recursos configurados por la red virtual mediante la asociación de un NSG con la subred y el establecimiento de reglas estrictas.
Referencia: Azure Private Link para Azure Data Factory
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas sobre características: deshabilitar el acceso a la red pública solo se aplica a Integration Runtime autoadministrado (SHIR) y no a Azure IR o SSIS IR. Con SHIR, habilitar la función de enlace privado en la factoría de datos no bloquea explícitamente el acceso público, pero el cliente puede bloquearlo manualmente.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Azure Private Link para Azure Data Factory
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: Data Factory puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Identidad administrada para Azure Data Factory
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de la función: puede usar autenticación de Windows para acceder a orígenes de datos desde paquetes SSIS que se ejecutan en Azure-SSIS Integration Runtime (IR). Los almacenes de datos pueden estar en el entorno local, hospedarse en Azure Virtual Machines (VM) o ejecutarse en Azure como servicios administrados. Sin embargo, se recomienda evitar el uso de la autenticación local y el uso de Azure AD siempre que sea posible. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: de forma predeterminada, al crear una factoría de datos a través de Azure Portal o PowerShell, la identidad administrada se creará automáticamente. Con el SDK o la API REST, la identidad administrada solo se creará si el usuario especifica explícitamente la palabra clave "identity".
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Identidad administrada para Azure Data Factory y Azure Synapse
Principal de Servicio
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de la característica: Data Factory permite usar identidades administradas y principales de servicio para autenticarse en almacenes de datos y recursos de cómputo que admiten la autenticación con AAD.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Acceso condicional: Aplicaciones en la nube, acciones y contexto de autenticación
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de caracteristicas: puede almacenar credenciales para almacenes de datos y computación en Azure Key Vault. Azure Data Factory recupera las credenciales al ejecutar una actividad que utiliza el almacén de datos o proceso de cálculo.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: Data Factory se integra con Azure RBAC para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos e integrados. Puede inventariar o consultar estos roles a través de herramientas como CLI de Azure, Azure PowerShell o el Azure Portal.
Limite los privilegios que asigna a los recursos mediante RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.
Utilice roles integrados para otorgar permisos. Cree únicamente roles personalizados cuando sea necesario.
Puede crear un rol personalizado en Azure AD con un acceso más restrictivo a Data Factory.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Roles y permisos para Azure Data Factory
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Bloqueo del Cliente
Descripción: Customer Lockbox se puede usar para obtener acceso al soporte técnico de Microsoft. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Customer Lockbox para Microsoft Azure
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Conexión de Data Factory a Microsoft Purview
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de fuga/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Consideraciones de seguridad para el movimiento de datos en Azure Data Factory
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de Azure Data Factory con claves administradas por el cliente
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Cifrado de Azure Data Factory con claves administradas por el cliente
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Almacenamiento de credenciales en Azure Key Vault
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Soporte de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas sobre funciones: Use Azure Policy para auditar y restringir los servicios que los usuarios pueden aprovisionar en su entorno. Use Azure Resource Graph para consultar y descubrir recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Definiciones integradas de Azure Policy para Data Factory
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: El servicio tiene una solución específica para la oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: IR autohospedado (SHIR) que se ejecuta en las máquinas virtuales y los contenedores de Azure, usa Defender para establecer la configuración segura.
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitar el registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: los registros de actividad están disponibles automáticamente. Puede usar los registros de actividad para buscar errores al solucionar problemas, o para supervisar cómo han modificado los recursos los usuarios de su organización.
Para habilitar los registros de recursos y la recopilación de datos de registro, use Microsoft Defender for Cloud y Azure Policy.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Configuración de diagnóstico en Azure Monitor
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Soportado | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: para realizar una copia de seguridad de todo el código en Azure Data Factory, use la funcionalidad de control de código fuente en Data Factory.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Control de código fuente en Azure Data Factory
Pasos siguientes
- Consulte la visión general del referente de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.