Documentos de Académico
Documentos de Profesional
Documentos de Cultura
e INFORMACIÓN GENERAL
q VIDEO
Introducción
b INTRODUCCIÓN
Referencia
i REFERENCIA
PowerShell
API DE REST
Introducción a Azure Advisor
Artículo • 01/06/2023
¿Qué es Advisor?
Advisor es un consultor personalizado en la nube que lo ayuda a seguir procedimientos
recomendados para optimizar las implementaciones de Azure. Analiza la configuración
de recursos y la telemetría de uso, y recomienda soluciones que pueden ayudar a
mejorar la rentabilidad, el rendimiento, la confiabilidad (antes conocida como alta
disponibilidad) y la seguridad de los recursos de Azure.
Puede acceder a Advisor mediante Azure Portal . Inicie sesión en el portal , busque
Asesor en el menú de navegación o búsquelo en el menú Todos los servicios.
Costo: ayuda a optimizar y reducir el gasto general de Azure. Para obtener más
información, consulte las recomendaciones sobre el costo de Advisor.
Excelencia operativa: ayuda a conseguir procedimientos recomendados de
eficiencia en procesos y flujos de trabajo, manejabilidad de los recursos e
implementación. Para más información, consulte Recomendaciones de excelencia
operativa de Advisor.
Puede hacer clic en una categoría para ver la lista de recomendaciones dentro de esa
categoría y seleccionar una recomendación para obtener más información sobre ella.
También puede aprender más sobre las acciones que puede llevar a cabo para
aprovechar las ventajas de una oportunidad o resolver un problema.
Introducción a Advisor
Puntuación de Advisor
Recomendaciones de confiabilidad de Advisor
Recomendaciones sobre seguridad de Advisor
Recomendaciones sobre rendimiento de Advisor
Recomendaciones sobre el costo de Advisor
Recomendaciones de excelencia operativa de Advisor
Novedades de Azure Advisor
Artículo • 21/11/2023
Conozca las novedades del servicio. Estos elementos pueden ser notas de la versión,
vídeos, entradas de blogs y otros tipos de información. Agregue esta página a sus
marcadores para mantenerse actualizado con el servicio.
Noviembre de 2023
Para más información, visite Uso de Discos de Azure con almacenamiento con
redundancia de zona para lograr una mayor resistencia y disponibilidad.
Octubre de 2023
Siete servicios que completaron su ciclo de vida de retirada están fuera de bordo.
Azure Monitor Alertas clásicas para la nube de Azure Gov y Azure China 21Vianet
Servicio Características que se retiran
Virtual Machines SKU de Azure Dedicated Host (Dsv3-Type1, Esv3-Type1, Dsv3-Type2, Esv3-
Type2)
Cuadrícula de detalles de recursos: ahora, los detalles del recurso están disponibles
de forma predeterminada, mientras que anteriormente solo eran visibles después
de seleccionar un servicio.
Vínculo de recursos: el vínculo Recurso ahora se abre en un panel de contexto, que
se abrió anteriormente en la misma pestaña.
Para más información, visite Prepare la migración de las cargas de trabajo afectadas por
la retirada del servicio.
Recomendaciones de alertas de Azure Service Health
Azure Advisor ahora proporciona una recomendación de alerta de Azure Service Health
para las suscripciones, que no tienen configuradas alertas de estado del servicio. El
vínculo de acción le redirigirá a la página de Azure Service Health, donde puede crear y
personalizar alertas en función de la clase de notificación de estado del servicio, las
suscripciones afectadas, los servicios y las regiones.
Las alertas de Azure Service Health le mantienen informado sobre los problemas y
avisos en cuatro áreas (problemas de servicio, mantenimiento planeado, avisos de
seguridad y mantenimiento) y pueden ser cruciales para la preparación de incidentes.
Para más información, visite Introducción a la experiencia clásica del Portal de Service
Health.
Agosto de 2023
Para obtener más información, visite Uso de zonas de disponibilidad para mejorar la
resistencia y la disponibilidad.
Jul. de 2023
Para obtener más información, visite Comprensión y optimización los costos de Azure
con el libro Optimización de costos.
Junio de 2023
Mayo de 2023
Para obtener más información, visite Optimizar los recursos para mejorar la
confiabilidad .
Para aprender más información, visite Consulta de datos de Advisor en Resource Graph
Explorer (Azure Resource Graph) .
Para más información, visite Prepare la migración de las cargas de trabajo afectadas por
las retiradas del servicio.
abril de 2023
Las recomendaciones de ajuste del tamaño ayudan a optimizar los costes identificando
las máquinas virtuales inactivas o infrautilizadas en función de su actividad de CPU,
memoria y red durante el periodo de retrospectiva predeterminado de siete días. Ahora,
con esta última actualización, puede ajustar el periodo de retrospectiva predeterminado
para obtener recomendaciones basadas en 14, 21, 30, 60 o incluso 90 días de uso. La
configuración puede aplicarse a nivel de suscripción. Esto es especialmente útil cuando
las cargas de trabajo tienen picos quincenales o mensuales (como ocurre con las
aplicaciones de nóminas).
Para obtener más información, visite Optimización de máquinas virtuales (VM) o del
conjunto de escalado de máquinas virtuales (VMSS) mediante el cambio de tamaño o el
apagado de instancias infrautilizadas.
Marzo de 2023
Capacidades de filtrado avanzado
Azure Advisor ahora proporciona funcionalidades de filtrado adicionales. Puede filtrar
las recomendaciones por grupo de recursos, tipo de recurso, impacto y carga de trabajo.
Noviembre de 2022
Para obtener más información, visite Optimización del gasto de máquinas virtuales (VM)
o del conjunto de escalado de máquinas virtuales (VMSS) mediante el cambio de
tamaño o el apagado de instancias infrautilizadas.
Junio de 2022
Mayo de 2022
Número ilimitado de suscripciones
Ahora es más fácil obtener información general sobre las oportunidades de
optimización disponibles para la organización: no es necesario dedicar tiempo ni
esfuerzo a aplicar filtros y suscripciones de proceso en lotes.
Filtrado de etiquetas
Ahora puede obtener recomendaciones de Advisor con ámbito de una unidad de
negocio, una carga de trabajo o un equipo. Filtre las recomendaciones y calcule las
puntuaciones mediante etiquetas ya asignadas a recursos, grupos de recursos y
suscripciones de Azure. Aplique filtros de etiquetas para lo siguiente:
Comparar las puntuaciones de las cargas de trabajo para optimizar primero las
críticas
Enero de 2022
La recomendación de apagado o cambio de tamaño de las máquinas virtuales se
mejoró para aumentar su calidad, solidez y aplicabilidad.
Obtenga información sobre cómo acceder a Advisor a través de la Azure Portal, obtener
y administrar recomendaciones y configurar las opciones de Advisor.
7 Nota
Azure Advisor se ejecuta en segundo plano para buscar recursos recién creados.
Puede tardar hasta 24 horas en poder proporcionar recomendaciones sobre esos
recursos.
Abrir Advisor
Para acceder a Azure Advisor, inicie sesión en el Azure Portal y abra Advisor . La
página de puntuación de Advisor se abre de forma predeterminada.
Leer la puntuación
Vea cómo las medidas de configuración del sistema en relación con los procedimientos
recomendados de Azure.
Obtención de recomendaciones
Para mostrar una lista específica de recomendaciones, haga clic en un icono de
categoría.
Para obtener recomendaciones para una categoría específica, haga clic en una de
las pestañas. Para abrir una lista de todas las recomendaciones de todas las
categorías, haga clic en el icono Todas las recomendaciones. De forma
predeterminada, el icono Costo está activado.
1. Para revisar los detalles de una recomendación, incluidos los recursos afectados,
abra la lista de recomendaciones de una categoría y, a continuación, haga clic en el
vínculo Descripción o Recursos afectados para una recomendación específica. En
la captura de pantalla siguiente se muestra una página de detalles de
recomendación de confiabilidad.
2. Para ver los detalles de la acción, haga clic en un vínculo Acciones recomendadas.
La página de Azure donde puede actuar se abre. Como alternativa, abra una
página a los recursos afectados para realizar la acción recomendada (las dos
páginas pueden ser las mismas).
Descarga de recomendaciones
Para descargar las recomendaciones de la puntuación de Advisor o cualquier página de
detalles de recomendación, haga clic en Descargar como CSV o Descargar como PDF
en la barra de acciones de la parte superior. La opción de descarga respeta los filtros
aplicados en Advisor. Si selecciona la opción de descarga mientras visualiza una
recomendación o categoría de recomendación específicas, el resumen descargado solo
incluye información para esa categoría o recomendación.
Configuración de recomendaciones
Puede excluir suscripciones o recursos, como los recursos de prueba, de las
recomendaciones de Advisor y configurar Advisor para generar recomendaciones solo
para suscripciones y grupos de recursos específicos.
7 Nota
Para cambiar las suscripciones o las reglas de proceso de Advisor, debe ser
propietario de la suscripción. Si no dispone de los permisos necesarios, la opción
está deshabilitada en la interfaz de usuario. Para más información sobre los
permisos, consulte Permisos en Azure Advisor. Para más información sobre el
ajuste de tamaño correcto de las máquinas virtuales, consulte Reducción de los
costos de servicio mediante Azure Advisor.
Pasos siguientes
Para más información sobre Advisor, consulte:
En este artículo se muestra cómo configurar una alerta para nuevas recomendaciones
desde Azure Advisor mediante Azure Portal.
Cada vez que Azure Advisor detecta una nueva recomendación para uno de los
recursos, se almacena un evento en el registro de actividad de Azure. Puede configurar
alertas para estos eventos desde Azure Advisor creando alertas específicas para la
recomendación. Puede seleccionar una suscripción y, si lo desea, un grupo de recursos
para especificar los recursos sobre los que desea recibir alertas.
Category
Nivel de impacto
Tipo de recomendación
También puede configurar la acción que tendrá lugar cuando se desencadene una alerta
si:
Para más información sobre los grupos de acciones, consulte Creación y administración
de grupos de acciones.
7 Nota
Las alertas de Advisor solo están disponibles para las recomendaciones de alta
disponibilidad, rendimiento y costo. No se admiten recomendaciones de seguridad.
Puede configurar alertas para recibir notificaciones cuando tenga una nueva
recomendación de Advisor en uno de sus recursos. Estas alertas pueden avisarle por
correo electrónico o mensaje de texto, pero también pueden usarse para integrarse con
los sistemas existentes a través de un webhook.
Uso de la carga de alerta de recomendación de Advisor
Si desea integrar las alertas de Advisor en sus propios sistemas mediante un webhook,
deberá analizar la carga de JSON que se envía desde la notificación.
Al configurar el grupo de acciones para esta alerta, seleccione si desea usar el esquema
de alerta común. Si selecciona el esquema de alerta común, la carga tendrá el siguiente
aspecto:
JSON
{
"schemaId":"azureMonitorCommonAlertSchema",
"data":{
"essentials":{
"alertId":"/subscriptions/<subid>/providers/Microsoft.AlertsManagement/alert
s/<alerted>",
"alertRule":"Webhhook-test",
"severity":"Sev4",
"signalType":"Activity Log",
"monitorCondition":"Fired",
"monitoringService":"Activity Log - Recommendation",
"alertTargetIDs":[
"/subscriptions/<subid>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>"
],
"originAlertId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"firedDateTime":"2019-07-17T23:00:57.3858656Z",
"description":"A new recommendation is available.",
"essentialsVersion":"1.0",
"alertContextVersion":"1.0"
},
"alertContext":{
"channels":"Operation",
"claims":"
{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Mi
crosoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"8554b847-2a72-48ef-9776-600aca3c3aab",
"eventSource":"Recommendation",
"eventTimestamp":"2019-07-17T22:28:54.1566942+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"Performance",
"recommendationImpact":"Medium",
"recommendationName":"Increase the MariaDB server vCores",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azur
e_Expert/RecommendationListBlade/source/ActivityLog/recommendationTypeId/a5f
888e3-8cf4-4491-b2ba-b120e14eb7ce/resourceId/%2Fsubscriptions%<subscription
id>%2FresourceGroups%2<resource group
name>%2Fproviders%2FMicrosoft.DBforMariaDB%2Fservers%2F<resource name>",
"recommendationType":"a5f888e3-8cf4-4491-b2ba-b120e14eb7ce"
},
"status":"Active",
"subStatus":"",
"submissionTimestamp":"2019-07-17T22:28:54.1566942+00:00"
}
}
}
JSON
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"
{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Mi
crosoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"3ea7320f-c002-4062-adb8-96d3bd92a5f4",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"a12b8e59-0b1d-4003-bfdc-3d8152922e59",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"Performance",
"recommendationImpact":"Medium",
"recommendationName":"Increase the MariaDB server vCores",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azur
e_Expert/RecommendationListBlade/source/ActivityLog/recommendationTypeId/a5f
888e3-8cf4-4491-b2ba-
b120e14eb7ce/resourceId/%2Fsubscriptions%2F<subscription
id>%2FresourceGroups%2F<resource group
name>%2Fproviders%2FMicrosoft.DBforMariaDB%2Fservers%2F<resource name>",
"recommendationType":"a5f888e3-8cf4-4491-b2ba-b120e14eb7ce"
},
"resourceId":"/subscriptions/<subscription
id>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>",
"resourceGroupName":"<resource group name>",
"resourceProviderName":"MICROSOFT.DBFORMARIADB",
"status":"Active",
"subStatus":"",
"subscriptionId":"<subscription id>",
"submissionTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"resourceType":"MICROSOFT.DBFORMARIADB/SERVERS"
}
},
"properties":{
}
}
}
Algunos de los otros campos importantes que puede querer usar son:
Administración de alertas
Desde Azure Advisor, puede editar, eliminar o deshabilitar y habilitar las alertas de
recomendaciones.
3. Para editar una alerta, haga clic en el nombre para abrirla y edite los campos que
desee.
4. Para eliminar, habilitar o deshabilitar una alerta, haga clic en los puntos
suspensivos al final de la fila y seleccione la acción que desea realizar.
Pasos siguientes
Consulte la introducción a las alertas del registro de actividad y aprenda cómo
puede recibir alertas.
Más información sobre los grupos de acciones.
Inicio rápido: Creación de alertas de
Azure Advisor para nuevas
recomendaciones mediante Bicep
Artículo • 11/05/2023
En este artículo se muestra cómo configurar una alerta para nuevas recomendaciones
desde Azure Advisor mediante Bicep.
Bicep es un lenguaje específico de dominio (DSL) que usa una sintaxis declarativa para
implementar recursos de Azure. Brinda sintaxis concisa, seguridad de tipos confiable y
compatibilidad con la reutilización de código. Bicep ofrece la mejor experiencia de
creación para sus soluciones de infraestructura como código en Azure.
Cada vez que Azure Advisor detecta una nueva recomendación para uno de los
recursos, se almacena un evento en el registro de actividad de Azure. Puede configurar
alertas para estos eventos desde Azure Advisor creando alertas específicas para la
recomendación. Puede seleccionar una suscripción y, si lo desea, un grupo de recursos
para especificar los recursos sobre los que desea recibir alertas.
Category
Nivel de impacto
Tipo de recomendación
También puede configurar la acción que tendrá lugar cuando se desencadene una alerta
si:
Para más información sobre los grupos de acciones, consulte Creación y administración
de grupos de acciones.
7 Nota
Las alertas de Advisor solo están disponibles para las recomendaciones de alta
disponibilidad, rendimiento y costo. No se admiten recomendaciones de seguridad.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para ejecutar los comandos desde la máquina local, instale la CLI de Azure o los
módulos de Azure PowerShell. Para más información, consulte Instalación de la CLI
de Azure e Instalar Azure Powershell.
Bicep
@description('Specify the email address where the alerts are sent to.')
param emailAddress string = 'email@example.com'
@description('Specify the email address name where the alerts are sent to.')
param emailName string = 'Example'
Microsoft.Insights/actionGroups
Microsoft.Insights/activityLogAlerts
CLI
Azure CLI
7 Nota
Reemplace <alert-name> por el nombre de la alerta.
Validación de la implementación
Use los Azure Portal, CLI de Azure o Azure PowerShell para enumerar los recursos
implementados en el grupo de recursos.
CLI
Azure CLI
Limpieza de recursos
Cuando ya no los necesite, use Azure Portal, la CLI de Azure o Azure PowerShell para
eliminar el grupo de recursos.
CLI
Azure CLI
Pasos siguientes
Consulte la introducción a las alertas del registro de actividad y aprenda cómo
puede recibir alertas.
Más información sobre los grupos de acciones.
Inicio rápido: Creación de alertas de
Azure Advisor para nuevas
recomendaciones mediante una plantilla
de Resource Manager
Artículo • 09/03/2023
En este artículo se muestra cómo configurar una alerta para nuevas recomendaciones
de Azure Advisor mediante una plantilla de Azure Resource Manager.
Cada vez que Azure Advisor detecta una nueva recomendación para uno de los
recursos, se almacena un evento en el registro de actividad de Azure. Puede configurar
alertas para estos eventos desde Azure Advisor creando alertas específicas para la
recomendación. Puede seleccionar una suscripción y, si lo desea, un grupo de recursos
para especificar los recursos sobre los que desea recibir alertas.
Category
Nivel de impacto
Tipo de recomendación
También puede configurar la acción que tendrá lugar cuando se desencadene una alerta
si:
Para más información sobre los grupos de acciones, consulte Creación y administración
de grupos de acciones.
7 Nota
Las alertas de Advisor solo están disponibles para las recomendaciones de alta
disponibilidad, rendimiento y costo. No se admiten recomendaciones de seguridad.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para ejecutar los comandos desde la máquina local, instale la CLI de Azure o los
módulos de Azure PowerShell. Para más información, consulte Instalación de la CLI
de Azure e Instalar Azure Powershell.
Revisión de la plantilla
En el siguiente ejemplo se crea un grupo de acciones con un destino de correo
electrónico y se habilitan todas las notificaciones de estado de servicio de la suscripción
de destino. Guarde esta plantilla como CreateAdvisorAlert.json.
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"actionGroups_name": {
"defaultValue": "advisorAlert",
"type": "string"
},
"activityLogAlerts_name": {
"defaultValue": "AdvisorAlertsTest",
"type": "string"
},
"emailAddress": {
"defaultValue": "<email address>",
"type": "string"
}
},
"variables": {
"alertScope": "
[concat('/','subscriptions','/',subscription().subscriptionId)]"
},
"resources": [
{
"comments": "Action Group",
"type": "microsoft.insights/actionGroups",
"apiVersion": "2019-06-01",
"name": "[parameters('actionGroups_name')]",
"location": "Global",
"scale": null,
"dependsOn": [],
"tags": {},
"properties": {
"groupShortName": "[parameters('actionGroups_name')]",
"enabled": true,
"emailReceivers": [
{
"name": "[parameters('actionGroups_name')]",
"emailAddress": "[parameters('emailAddress')]"
}
],
"smsReceivers": [],
"webhookReceivers": []
}
},
{
"comments": "Azure Advisor Activity Log Alert",
"type": "microsoft.insights/activityLogAlerts",
"apiVersion": "2017-04-01",
"name": "[parameters('activityLogAlerts_name')]",
"location": "Global",
"scale": null,
"tags": {},
"properties": {
"scopes": [
"[variables('alertScope')]"
],
"condition": {
"allOf": [
{
"field": "category",
"equals": "Recommendation"
},
{
"field": "properties.recommendationCategory",
"equals": "Cost"
},
{
"field": "properties.recommendationImpact",
"equals": "Medium"
},
{
"field": "operationName",
"equals": "Microsoft.Advisor/recommendations/available/action"
}
]
},
"actions": {
"actionGroups": [
{
"actionGroupId": "
[resourceId('microsoft.insights/actionGroups',
parameters('actionGroups_name'))]",
"webhookProperties": {}
}
]
},
"enabled": true,
"description": ""
},
"dependsOn": [
"[resourceId('microsoft.insights/actionGroups',
parameters('actionGroups_name'))]"
]
}
]
}
Microsoft.Insights/actionGroups
Microsoft.Insights/activityLogAlerts
Implementación de la plantilla
Implemente la plantilla mediante cualquier método estándar de implementación de una
plantilla de Resource Manager como en los ejemplos siguientes con la CLI y PowerShell.
Reemplace los valores de ejemplo del grupo de recursos y dirección de correo
electrónico por los valores adecuados para su entorno. El nombre del área de trabajo
debe ser único entre todas las suscripciones de Azure.
CLI
Azure CLI
az login
az deployment group create --name CreateAdvisorAlert --resource-group
my-resource-group --template-file CreateAdvisorAlert.json --parameters
emailAddress='user@contoso.com'
Validación de la implementación
Para comprobar que se ha creado el área de trabajo, utilice uno de los comandos
siguientes. Reemplace los valores de ejemplo del grupo de recursos por los valores que
usó anteriormente.
CLI
Azure CLI
az monitor activity-log alert show --resource-group my-resource-group --
name AdvisorAlertsTest
Limpieza de recursos
Si planea seguir trabajando en otros inicios rápidos y tutoriales, considere la posibilidad
de dejar estos recursos activos. Cuando ya no lo necesite, elimine el grupo de recursos;
de este modo, se eliminarán también la regla de alertas y los recursos relacionados. Para
eliminar el grupo de recursos mediante la CLI de Azure o Azure PowerShell
CLI
Azure CLI
Pasos siguientes
Consulte la introducción a las alertas del registro de actividad y aprenda cómo
puede recibir alertas.
Más información sobre los grupos de acciones.
Recomendaciones de costo
Artículo • 30/10/2023
AI Services
Análisis
Obtenga más información sobre Recurso de Data Explorer: recurso de ADX detenido
(Recursos no utilizados o detenidos de Data Explorer) .
Obtenga más información sobre Recurso de Data Explorer: recurso sin usar de ADX
(recursos sin usar o vacíos de Data Explorer) .
Obtenga más información sobre Recurso de Data Explorer: tamaño adecuado para el
costo (recursos de Data Explorer con un tamaño adecuado para optimizar los costos) .
Proceso
Bases de datos
Administración y gobernanza
Azure Monitor
Para obtener sugerencias de optimización de costos de Azure Monitor, consulte
Optimización de costos en Azure Monitor.
Redes
Instancias reservadas
Obtenga más información sobre Almacén de Recovery Services: optimizar los costos de
copia de seguridad de base de datos (usar la copia de seguridad diferencial o
incremental para cargas de trabajo de bases de datos) .
Web
7 Nota
Actualmente, esta recomendación solo funciona para los planes App Service
que se ejecutan en Windows en una SKU que le permite reducir la escala a
niveles menos costosos sin perder ninguna característica, como de P3v2 a
P2v2 o de P2v2 a P1v2.
Es posible que las ráfagas de CPU que duran solo unos minutos no se
detecten correctamente. Realice un análisis cuidadoso en la hoja de métricas
de su plan de App Service antes de reducir el SKU.
7 Nota
Pasos siguientes
Obtenga más información sobre Optimización de costos: Microsoft Azure Well
Architected Framework.
Recomendaciones para la excelencia
operativa
Artículo • 07/11/2023
Análisis
Proceso
Obtenga más información sobre Nube privada de AVS: HCXVersion (la nueva versión de
HCX está disponible para la actualización) .
Obtenga más información sobre la cuenta de Batch: OldPool (vuelva a crear el grupo
para obtener las últimas características y correcciones del agente de nodo) .
Obtenga más información sobre la cuenta de Batch: EolImage (vuelva a crear el grupo
con una nueva imagen) .
Contenedores
Obtenga más información sobre el servicio Kubernetes: NodeSubnetIsFull (la subred del
grupo de nodos de AKS está llena).
Bases de datos
El agente de IaaS de Azure SQL debe instalarse en modo
completo
El modo completo instala el agente SQL IaaS en la máquina virtual para ofrecer toda la
funcionalidad. Úselo para administrar una VM con SQL Server con una sola instancia. No
hay ningún costo asociado al uso del modo de administración completa. Se requieren
permisos de administrador del sistema. Tenga en cuenta que la instalación o
actualización del modo completo es una operación en línea, no es necesario reiniciar.
Obtenga más información sobre Máquina virtual SQL: UpgradeToFullMode (El agente de
IaaS en SQL debe instalarse en modo completo)..
Obtenga más información sobre servidor flexible de Azure Database for MySQL:
OrcasMeruMySqlTlsDeprecation (su servidor flexible de Azure Database for MySQL es
vulnerable debido al uso de los protocolos débiles y en desuso TLSv1 o TLSv1.1) .
Optimice o particione las tablas de su base de datos que
tengan un tamaño de espacio de tablas enorme
El tamaño máximo de espacio de tabla admitido en Azure Database for MySQL para
servidor flexible es de 4 TB. Para administrar de forma eficaz tablas grandes, se
recomienda optimizar la tabla o implementar la creación de particiones, lo que ayuda a
distribuir los datos entre varios archivos y evitar alcanzar el límite máximo de 4 TB en el
espacio de tabla.
Obtenga más información sobre el servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerSingleTablespace4TBLimit2bf9 (optimizar o particionar tablas en la
base de datos que tienen un tamaño de espacio de tabla enorme) .
Obtenga más información sobre el servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerStorageAutogrow43b64 (habilitar el crecimiento automático de
almacenamiento para el servidor flexible de MySQL).
Obtenga más información sobre el servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerResourceLockbe19e (aplicar bloqueo de eliminación de recursos).
Obtenga más información sobre el servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerNoFirewallRule6e523 (agregar reglas de firewall para el servidor
flexible de MySQL).
La inserción de una memoria caché en una red virtual
(VNet) impone requisitos complejos sobre la
configuración de red, que es un origen común de
incidentes que afectan a las aplicaciones del cliente.
Insertar una caché en una red virtual (VNet) impone requisitos complejos en la
configuración de su red. Es difícil configurar la red con precisión y evitar que la
funcionalidad de caché resulte afectada. Es fácil interrumpir la memoria caché
accidentalmente al realizar cambios de configuración para otros recursos de red, que es
un origen común de incidentes que afectan a las aplicaciones del cliente.
Obtenga más información sobre Servidor de Redis Cache: PrivateLink (la inserción de
una caché en una red virtual [VNet] impone requisitos complejos sobre la configuración
de red. Se trata de un origen común de incidentes que afectan a las aplicaciones del
cliente) .
Obtenga más información sobre Servidor de Redis Cache: TLSVersion (las versiones de
TLS 1.0 y 1.1 son susceptibles de sufrir ataques de seguridad. Además, estas tienen otros
puntos vulnerables y exposiciones comunes [CVE]) .
Obtenga más información sobre el servidor de Redis Cache: persistencia (la persistencia
de Redis permite conservar los datos almacenados en una memoria caché para que
pueda volver a cargar datos de un evento que provocó pérdida de datos) .
Integración
Administración y gobernanza
Redes
Más información sobre Rred virtual: ManagePeeringsUsingAVNM (La red virtual con más
de 5 emparejamientos debe administrarse mediante la configuración de conectividad de
AVNM).
Actualice los registros de flujo de NSG a registros de flujo
de VNet
El registro de flujo de la red virtual le permite registrar el tráfico IP que fluye en una red
virtual. Proporciona varios beneficios acerca del registro de flujo del Grupo de
Seguridad de la red, tal como la habilitación simplificada, la cobertura mejorada, la
precisión, el rendimiento y la observabilidad de las reglas del Administrador de la red
virtual y el estado del cifrado.
Storage
Obtenga más información sobre Volumen: recomendación de la versión del SDK del
grupo de volúmenes de aplicación (Recomendación del SDK del grupo de volúmenes de
aplicaciones) .
Obtenga más información sobre Volumen: recomendación del SDK de replicación entre
zonas de Azure NetApp Files (Recomendación del SDK de replicación entre zonas) .
Obtenga más información sobre Volumen: recomendación del SDK de CMK con AKV
(Recomendación del SDK para cifrado del volumen mediante claves administradas por el
cliente con Azure Key Vault).
Web
Pasos siguientes
Obtenga más información sobre la Excelencia operativa: marco de buena arquitectura
de Microsoft Azure
Recomendaciones de rendimiento
Artículo • 31/10/2023
Análisis
Obtenga más información sobre el recurso de Data Explorer: recurso ADX de tamaño
correcto (tamaño correcto de los recursos de Data Explorer para un rendimiento
óptimo) .
Estas condiciones indican que el clúster sufre latencias de escritura elevadas, que
pueden deberse a una gran carga de trabajo en el clúster.
Proceso
Obtenga más información sobre la nube privada de AVS: vSANCapacity (el uso de la
capacidad de vSAN ha superado el umbral crítico).
Contenedores
Bases de datos
Obtenga más información sobre Escalado y configuración del clúster de núcleo virtual
de Azure Cosmos DB for MongoDB.
PerformanceBoostervCore
Cuando el uso de la CPU supera el 90 % en un período de tiempo de 12 horas, se
notifica a los usuarios sobre el uso elevado. Además, se les recomienda escalar
verticalmente a un nivel superior para obtener un mejor rendimiento.
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMySqlStorageUpsell (aumento del límite de almacenamiento para el servidor
flexible de MySQL) .
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMysqlConnectionUpsell (escalado del servidor flexible de MySQL a un plan
de tarifa superior).
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMysqlCpuUpcell (aumento de los núcleos virtuales del servidor flexible de
MySQL) .
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMysqlTmpTable (mejora del rendimiento mediante la optimización del ajuste
de tamaño de la tabla temporal de MySQL) .
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMysqlMemoryUpsell (traslado del servidor de MySQL a una SKU optimizada
para memoria) .
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMysqlReadReplicaUpsell (integración de un servidor réplica de lectura de
MySQL) .
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMySqlComputeSeriesUpgradeEv5 (aumento del rendimiento de la carga de
trabajo un 30 % con el nuevo hardware de proceso Ev5) .
Obtenga más información sobre [Registros en Azure Database for PostgreSQL: servidor
único] (/azurepostgresql/single-server/concepts-server-logs#configure-logging).
Obtenga más información sobre [Registros en Azure Database for PostgreSQL: servidor
único] (/azurepostgresql/single-server/concepts-server-logs#configure-logging).
Obtenga más información sobre [Registros en Azure Database for PostgreSQL: servidor
único] (/azurepostgresql/single-server/concepts-server-logs#configure-logging).
Obtenga más información sobre [Registros en Azure Database for PostgreSQL: servidor
único] (/azurepostgresql/single-server/concepts-server-logs#configure-logging).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruMeruLogStatement (optimización de la configuración de log_statement para
PostgreSQL en Azure Database).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruMeruWorkMem (aumento del valor de work_mem para evitar un
desbordamiento excesivo del disco debido a las operaciones de ordenación y hash) .
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruIntelligentTuning (mejora del rendimiento de un servidor flexible de
PostgreSQL mediante la habilitación del ajuste inteligente).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruMeruLogMinDuration (optimización de la configuración de log_min_duration
para PostgreSQL en Azure Database).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruMeruQueryCaptureMode (optimización de la configuración de
pg_qs.query_capture_mode para PostgreSQL en Azure Database).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruOrcasPostgreSQLConnectionPooling (optimización del rendimiento de
PostgreSQL mediante la habilitación de PGBouncer).
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasPostgreSqlMeruMigration (migración de la base de datos de SSPG a FSPG).
Obtenga más información sobre Redis Cache Server: UnresponsiveClient (las instancias
de caché funcionan mejor cuando las máquinas host en las que se ejecuta la aplicación
cliente pueden mantener el ritmo de las respuestas de la memoria caché).
DevOps
Integración
Dispositivo móvil
Redes
Obtenga más información sobre Instancia de App Server: AppSoftLockup (para evitar el
bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de la aplicación en cargas de trabajo de SAP) .
Obtenga más información sobre Instancia de servidor central: AscsoftLockup (para evitar
el bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de ASCS en cargas de trabajo de SAP) .
Obtenga más información sobre Instancia de base de datos: DBSoftLockup (para evitar
el bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de la base de datos en cargas de trabajo de
SAP) .
Para mejorar el rendimiento del sistema de archivos en la
base de datos HANA con ANF, optimice el parámetro del
sistema operativo tcp_wmem
El parámetro net.ipv4.tcp_wmem especifica los tamaños mínimo, predeterminado y
máximo del búfer de envío que se usan para un socket TCP. Establezca el parámetro
según la nota de SAP 302436 para certificar la base de datos de HANA para que se
ejecute con ANF y mejorar el rendimiento del sistema de archivos. El valor máximo no
debe superar el del parámetro net.core.wmem_max.
Obtenga más información sobre Instancia de base de datos: HanaDataIOPS (si usa
discos Ultra, las operaciones IOPS para el volumen /hana/data deben ser >= 7000 para
mejorar el rendimiento de la base de datos HANA).
Para mejorar el rendimiento de la transferencia de
archivos en la base de datos HANA con ANF, optimice el
parámetro tcp_max_slot_table_entries
Establezca el parámetro del sistema operativo tcp_max_slot_table_entries en 128 según
la nota de SAP 302436 para mejorar el rendimiento de la transferencia de archivos en la
base de datos HANA con ANF en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: HanaLogIOPS (si usa discos
Ultra, las operaciones IOPS para el volumen /hana/log deben ser >= 2000 para mejorar
el rendimiento de la base de datos HANA).
Seguridad
) Importante
Tenga en cuenta que solo puede corregir las recomendaciones de las aplicaciones
personalizadas a las que tiene acceso. Recomendaciones se puede mostrar debido
a la integración con otros servicios de Azure, como Storage o Disk Encryption, que
están en proceso de actualización a la nueva versión de nuestro SDK. Si usa
.NET 4.0 en todas las aplicaciones, descarte la recomendación.
Storage
Web
Traslado del plan de App Service a PremiumV2 para
mejorar el rendimiento
La aplicación sirvió más de 1000 solicitudes al día durante los últimos 3 días. La
aplicación podría aprovechar las ventajas de la infraestructura de mayor rendimiento
disponible con el nivel Premium V2 de App Service. El nivel Premium V2 incluye
máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD
y una doble proporción de memoria frente a núcleos en comparación con las instancias
anteriores. Más información sobre la actualización a Premium V2 en la documentación.
Pasos siguientes
Obtenga más información sobre la eficiencia del rendimiento: Marco de buena
arquitectura de Microsoft Azure
Recomendaciones sobre la confiabilidad
Artículo • 31/10/2023
AI Services
Obtenga más información sobre Cognitive Service: versión de API: OpenAI (actualización
de la aplicación para usar la versión más reciente de la API de Azure OpenAI).
Análisis
Proceso
Obtenga más información sobre Recurso: Retirada de Cloud Services (cloud Services
(clásico) que se va a retirar. Migre antes del 31 de agosto de 2024) .
Contenedores
Aumento del número mínimo de réplicas para la
aplicación de contenedor
Hemos detectado que el número mínimo de réplicas establecido para la aplicación
contenedora podría ser inferior al óptimo. Considere la posibilidad de aumentar el
número mínimo de réplicas para mejorar la disponibilidad.
Obtenga más información sobre Kubernetes: Azure Arc: actualización de la versión del
agente K8s habilitada para Arc (Actualización a la versión más reciente del agente de
Kubernetes habilitado para Azure Arc) .
Bases de datos
Obtenga más información sobre servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerReplicaMissingPKfb41 (Replicación: Agregar una clave principal a la
tabla que actualmente no tiene una).
Obtenga más información sobre servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerHAMissingPKcf38 (Alta disponibilidad: Agregar clave principal a la
tabla que actualmente no tiene una)..
La disponibilidad puede verse afectada por la
fragmentación de memoria alta. Aumente la reserva de
memoria de fragmentación para evitar
La fragmentación y la presión de memoria pueden provocar incidentes de
disponibilidad durante las operaciones de administración o una conmutación por error.
Aumentar la reserva de memoria para la fragmentación ayuda a reducir los errores de
caché cuando se ejecuta con una presión de memoria alta. La memoria para la
fragmentación se puede aumentar con la configuración maxfragmentationmemory-
reserved disponible en el área de opciones de configuración avanzada.
Obtenga más información sobre Servidor flexible de Azure Database for PostgreSQL:
OrcasPostgreSqlFlexibleServerLogicalReplicationSlots (Mejora la disponibilidad de
PostgreSQL mediante la eliminación de ranuras de replicación lógica inactivas) .
7 Nota
gubernamentales o restringidas).
Integración
Obtenga más información sobre IoT Hub: IoTHubDeviceStorm (Se detectó una posible
tormenta de dispositivo de IoT Hub) .
Media
Redes
La máquina virtual check point podría perder la
conectividad de red
Hemos identificado que la máquina virtual podría estar ejecutando una versión de la
imagen de Check Point que podría perder la conectividad de red durante una operación
de mantenimiento de la plataforma. Se recomienda actualizar a una versión más
reciente de la imagen. Póngase en contacto con Check Point para obtener más
instrucciones sobre cómo actualizar la imagen.
Obtenga más información sobre Puerta de enlace de red virtual: BasicVPNGateway (Paso
de SKUs de puerta de enlace de producción desde puertas de enlace básicas) .
Obtenga más información sobre Red virtual: natGateway (uso de la puerta de enlace
NAT para la conectividad saliente).
Actualización del permiso de red virtual de usuarios de
Application Gateway
Para mejorar la seguridad y proporcionar una experiencia más coherente en Azure,
todos los usuarios deben pasar una comprobación de permisos antes de crear o
actualizar una instancia de Application Gateway en una red virtual. Los usuarios o
entidades de servicio deben incluir al menos el permiso
Microsoft.Network/virtualNetworks/subnets/join/action.
Establezca "token_retransmits_before_loss_const" en 10
en el clúster de Pacemaker en la configuración de alta
disponibilidad de ASCS en cargas de trabajo de SAP.
El token_retransmits_before_loss_const corosync determina el número de veces que los
tokens retransmiten el sistema antes del tiempo de espera en clústeres de alta
disponibilidad. Establezca el totem.token_retransmits_before_loss_const en 10 según la
recomendación para la configuración de alta disponibilidad de ASCS.
Establecer "token_retransmits_before_loss_const" en 10 en
el clúster de Pacemaker en las cargas de trabajo de SAP
habilitadas para la alta disponibilidad.
El corosync token_retransmits_before_loss_const determina la cantidad de
retransmisiones de token que se intentan antes de que se haya agotado el tiempo de
espera en clústeres de alta disponibilidad. Establezca el
totem.token_retransmits_before_loss_const en 10 según la recomendación para la
configuración de alta disponibilidad de base de datos de HANA.
Storage
Obtenga más información sobre Almacén de Recovery Services: Habilite CRR (Habilitar
la restauración entre regiones para el almacén de Recovery Services).
Pasos siguientes
Obtenga más información sobre Confiabilidad: Marco bien diseñado de Microsoft Azure
Guía de referencia sobre las
recomendaciones de seguridad
Artículo • 27/09/2023
En este artículo se muestra una lista de las recomendaciones que puede ver en
Microsoft Defender for Cloud. Las recomendaciones que se muestran en su entorno
dependen de los recursos que se van a proteger y de la configuración personalizada.
Sugerencia
Recomendaciones de AppServices
Hay 26 recomendaciones en esta categoría.
Recomendación Descripción severity
Acceso a API App solo a través El uso de HTTPS garantiza la autenticación del Media
de HTTPS servicio y el servidor, y protege los datos en
tránsito frente a ataques de intercepción de nivel
de red.
(Directiva relacionada: solo se debe poder acceder
a una aplicación de API a través de HTTPS )
CORS no debe permitir que El uso compartido de recursos entre orígenes Bajo
todos los recursos accedan a API (CORS) no debe permitir que todos los dominios
Apps. accedan a la aplicación de API. Permita la
interacción con API solo de los dominios
requeridos.
(Directiva relacionada: CORS no debe permitir que
todos los recursos accedan a una aplicación de
API )
CORS no debe permitir que El uso compartido de recursos entre orígenes Bajo
todos los recursos accedan a (CORS) no debe permitir que todos los dominios
Function Apps. accedan a la aplicación de funciones. Permita la
interacción con la aplicación de funciones solo de
los dominios requeridos.
(Directiva relacionada: CORS no debe permitir que
todos los recursos accedan a sus aplicaciones de
funciones )
CORS no debe permitir que El uso compartido de recursos entre orígenes Bajo
todos los recursos accedan a (CORS) no debe permitir que todos los dominios
aplicaciones web. accedan a la aplicación web. Permita la interacción
con la aplicación web solo de los dominios
requeridos.
(Directiva relacionada: CORS no debe permitir que
todos los recursos accedan a sus aplicaciones
web )
FTPS debe ser necesario en las Habilite el cumplimiento con FTPS para mejorar la Alto
aplicaciones de API. seguridad.
(Directiva relacionada: FTPS solo debe exigirse en
una aplicación de API )
FTPS debe ser necesario en las Habilite el cumplimiento con FTPS para mejorar la Alto
aplicaciones de función. seguridad.
(Directiva relacionada: FTPS solo debe exigirse en
su aplicación de funciones )
FTPS debe ser necesario en las Habilite el cumplimiento con FTPS para mejorar la Alto
aplicaciones web. seguridad.
(Directiva relacionada: FTPS debe exigirse en su
aplicación web )
Acceso a Function App solo a El uso de HTTPS garantiza la autenticación del Media
través de HTTPS servicio y el servidor, y protege los datos en
tránsito frente a ataques de intercepción de nivel
de red.
(Directiva relacionada: a la aplicación de funciones
solo se puede acceder a través de HTTPS )
Se debe habilitar Microsoft Microsoft Defender para App Service aprovecha la Alto
Defender para App Service escalabilidad de la nube, y la visibilidad que ofrece
Azure como proveedor de servicios en la nube,
para supervisar si se producen ataques comunes a
aplicaciones web.
Microsoft Defender para App Service puede
detectar ataques en las aplicaciones, además de
identificar ataques emergentes.
Acceso a la aplicación web solo El uso de HTTPS garantiza la autenticación del Media
a través de HTTPS servicio y el servidor, y protege los datos en
tránsito frente a ataques de intercepción de nivel
de red.
(Directiva relacionada: el acceso a la aplicación web
solo se debe poder realizar a través de HTTPS )
Las aplicaciones web deben Los certificados de cliente permiten que la Media
solicitar un certificado SSL a aplicación solicite un certificado para las solicitudes
todas las solicitudes entrantes entrantes.
Solo los clientes que tienen un certificado válido
podrán acceder a la aplicación.
(Directiva relacionada: asegúrese de que la
aplicación web tenga la opción de "certificados de
cliente (certificados de cliente entrantes)"
activada )
Recomendaciones de proceso
Hay 58 recomendaciones en esta categoría.
Se deben actualizar las Supervise los cambios en el comportamiento de los grupos Alto
reglas de la lista de de máquinas configurados para la auditoría mediante
permitidos de la controles de aplicaciones adaptables de Defender for Cloud.
directiva de controles Defender for Cloud usa el aprendizaje automático para
de aplicaciones analizar los procesos en ejecución en las máquinas y sugerir
adaptables una lista de aplicaciones seguras conocidas. Estas se
presentan como aplicaciones recomendadas que se deben
permitir en directivas de control de aplicaciones adaptables.
(Directiva relacionada: Se deben actualizar las reglas de la
lista de permitidos de la directiva de controles de
aplicaciones adaptables )
Azure Backup debería Proteja los datos de las máquinas virtuales de Azure con Bajo
habilitarse en las Azure Backup.
máquinas virtuales Azure Backup es una solución de protección de datos
rentable y nativa de Azure.
Crea puntos de recuperación que se almacenan en
almacenes de recuperación con redundancia geográfica.
Cuando se realiza una restauración desde un punto de
recuperación, se puede restaurar toda la máquina virtual o
determinados archivos.
(Directiva relacionada: Azure Backup debe habilitarse en las
máquinas virtuales )
Se deben habilitar los Habilite los registros y consérvelos por hasta un año. Esto le Bajo
registros de diagnóstico permite volver a crear seguimientos de actividad con fines
en Azure Stream de investigación cuando se produce un incidente de
Analytics seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure
Stream Analytics debe estar habilitados )
Se deben habilitar los Habilite los registros y consérvelos por hasta un año. Esto le Bajo
registros de diagnóstico permite volver a crear seguimientos de actividad con fines
en las cuentas de Batch de investigación cuando se produce un incidente de
seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de las
cuentas de Batch deben estar habilitados )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico del centro permite volver a crear seguimientos de actividad con fines
de eventos deben estar de investigación cuando se produce un incidente de
habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Event
Hubs deben estar habilitados )
Los registros de Para asegurarse de que puede volver a crear trazos de Bajo
diagnóstico de Logic actividad con fines de investigación cuando se produce un
Apps deben estar incidente de seguridad o se pone en peligro la red, habilite
habilitados el registro. Si los registros de diagnóstico no se envían a un
área de trabajo Log Analytics, una cuenta de Azure Storage
o Azure Event Hubs, asegúrese de que ha configurado los
valores de diagnóstico para enviar las métricas de la
plataforma y los registros de la plataforma a los destinos
correspondientes. Más información en Creación de una
configuración de diagnóstico para enviar los registros y las
métricas de la plataforma a diferentes destinos.
(Directiva relacionada: los registro de diagnóstico de Logic
Apps deben estar habilitados )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico de los permite volver a crear seguimientos de actividad con fines
servicios de búsqueda de investigación cuando se produce un incidente de
deben estar habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de los
servicios Search deben estar habilitados )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico en Service permite volver a crear seguimientos de actividad con fines
Bus deben estar de investigación cuando se produce un incidente de
habilitados seguridad o se pone en peligro la red.
Recomendación Descripción severity
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico de Virtual permite volver a crear seguimientos de actividad con fines
Machine Scale Sets de investigación cuando se produce un incidente de
deben estar habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de
Virtual Machine Scale Sets deben estar habilitados )
- Deben resolverse los Resuelva los problemas del estado de la protección de los Media
problemas de estado de puntos de conexión en las máquinas virtuales para
Endpoint Protection en protegerlas frente a amenazas y vulnerabilidades más
las máquinas. recientes. Consulte la documentación de las soluciones de
Endpoint Protection compatibles con Defender for Cloud y
las evaluaciones de Endpoint Protection.
(Ninguna directiva relacionada)
Deben resolverse los Corrija los errores de estado de la protección de puntos de Bajo
problemas de estado de conexión en conjuntos de escalado de sus máquinas
Endpoint Protection en virtuales para protegerlas de amenazas y vulnerabilidades.
los conjuntos de (Directiva relacionada: la solución de protección de puntos
escalado de máquinas de conexión debe estar instalada en los conjuntos de
virtuales. escalado de máquinas virtuales )
Endpoint Protection Instale una solución Endpoint Protection en los conjuntos Alto
debe instalarse en de escalado de máquinas virtuales para protegerlos frente a
conjuntos de escalado amenazas y vulnerabilidades.
de máquinas virtuales. (Directiva relacionada: la solución Endpoint Protection debe
estar instalada en los conjuntos de escalado de máquinas
virtuales )
La supervisión de la Defender for Cloud ha identificado máquinas a las que les Alto
integridad de los falta una solución de supervisión de integridad de archivos.
archivos debe estar Para supervisar los cambios en archivos críticos, claves del
habilitada en las registro, etc. en los servidores, habilite la supervisión de la
máquinas integridad de los archivos.
Cuando la solución de supervisión de la integridad de los
archivos está habilitada, cree reglas de recopilación de
datos para definir los archivos que se van a supervisar. Para
definir reglas o ver los archivos cambiados en las máquinas
Recomendación Descripción severity
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
Instalar una solución de Instale una solución de protección de punto de conexión en Alto
protección de punto de las máquinas virtuales para protegerlas frente a amenazas y
conexión en máquinas vulnerabilidades.
virtuales (Directiva relacionada: supervisar la falta de Endpoint
Protection en Azure Security Center )
Las máquinas virtuales Con el arranque seguro habilitado, todos los componentes Bajo
Linux solo deben usar de arranque del sistema operativo (cargador de arranque,
componentes de kernel y controladores de kernel) deben estar firmados por
arranque firmados y de editores de confianza. Defender for Cloud ha identificado
confianza componentes de arranque del sistema operativo que no son
de confianza en una o varias máquinas Linux. Para proteger
las máquinas de componentes potencialmente
malintencionados, agréguelas a la lista de permitidos o
quite los componentes identificados.
(Ninguna directiva relacionada)
Las máquinas virtuales Para protegerse contra la instalación de rootkits y bootkits Bajo
Linux deben usar el basados en malware, habilite el arranque seguro en las
arranque seguro máquinas virtuales Linux admitidas. El arranque seguro
garantiza que solo se permitirá la ejecución de
controladores y sistemas operativos firmados. Esta
evaluación solo se aplica a las máquinas virtuales Linux que
tienen instalado el agente de Azure Monitor.
(Ninguna directiva relacionada)
El agente de Log Defender for Cloud usa el agente de Log Analytics (también Alto
Analytics debe conocido como OMS) para recopilar eventos de seguridad
instalarse en las de las máquinas de Azure Arc. Para implementar el agente
máquinas basadas en en todas las máquinas de Azure Arc, siga los pasos de
Linux habilitadas para corrección.
Azure Arc. (Ninguna directiva relacionada)
El agente de Log Defender for Cloud recopila datos de las máquinas virtuales Alto
Analytics debe de Azure para supervisar las amenazas y vulnerabilidades de
instalarse en los la seguridad. Para realizar esta operación, se usa el agente
conjuntos de escalado de Log Analytics, que anteriormente se conocía como
de máquinas virtuales. Microsoft Monitoring Agent (MMA), que lee distintas
configuraciones relacionadas con la seguridad y distintos
registros de eventos de la máquina y copia los datos en el
área de trabajo para analizarlos. También tendrá que realizar
ese procedimiento si algún servicio administrado de Azure,
como Azure Kubernetes Service o Azure Service Fabric,
utiliza sus máquinas virtuales. No se puede configurar el
aprovisionamiento automático del agente para los
conjuntos de escalado de máquinas virtuales de Azure. Para
implementar el agente en los conjuntos de escalado de
máquinas virtuales (incluidos los que se usan en los
Recomendación Descripción severity
El agente de Log Defender for Cloud recopila datos de las máquinas virtuales Alto
Analytics debe de Azure para supervisar las amenazas y vulnerabilidades de
instalarse en las la seguridad. Para realizar esta operación, se usa el agente
máquinas virtuales. de Log Analytics, que anteriormente se conocía como
Microsoft Monitoring Agent (MMA), que lee distintas
configuraciones relacionadas con la seguridad y distintos
registros de eventos de la máquina y copia los datos en el
área de trabajo de Log Analytics para analizarlos. Este
agente también es necesario si algún servicio administrado
de Azure, como Azure Kubernetes Service o Azure Service
Fabric, utiliza sus máquinas virtuales. Se recomienda
configurar el aprovisionamiento automático para que
implemente el agente automáticamente. Si decida no usar
el aprovisionamiento automático, implemente el agente de
forma manual en sus máquinas virtuales y, para hacerlo,
siga las instrucciones de los pasos para la corrección.
(Directiva relacionada: el agente de Log Analytics debe
instalarse en la máquina virtual para la supervisión de Azure
Security Center )
El agente de Log Defender for Cloud usa el agente de Log Analytics (también Alto
Analytics debe conocido como MMA) para recopilar eventos de seguridad
instalarse en las de las máquinas de Azure Arc. Para implementar el agente
máquinas basadas en en todas las máquinas de Azure Arc, siga los pasos de
Windows habilitadas corrección.
para Azure Arc. (Ninguna directiva relacionada)
Las máquinas deben Defender for Cloud comprueba regularmente las máquinas Media
tener una solución de conectadas para asegurarse de que están ejecutando
Recomendación Descripción severity
Las máquinas deben Resuelva los resultados de las soluciones de evaluación de Bajo
tener resueltos los vulnerabilidades en las máquinas virtuales.
resultados de (Directiva relacionada: debe habilitarse una solución de
vulnerabilidades. evaluación de vulnerabilidades en las máquinas virtuales )
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
Se debe establecer la Service Fabric proporciona tres niveles de protección (None, Alto
propiedad Sign y EncryptAndSign) para la comunicación de nodo a
ClusterProtectionLevel nodo mediante un certificado de clúster principal.
en EncryptAndSign en Establezca el nivel de protección para asegurarse de que
los clústeres de Service todos los mensajes de nodo a nodo se cifran y se firman
Fabric digitalmente.
(Directiva relacionada: se debe establecer la propiedad
ClusterProtectionLevel en EncryptAndSign en los clústeres
de Service Fabric )
Los clústeres de Service Realice la autenticación de clientes solo mediante Azure Alto
Fabric solo deben usar Active Directory en Service Fabric
Azure Active Directory (Directiva relacionada: los clústeres de Service Fabric solo
para la autenticación de deben usar Azure Active Directory para la autenticación de
cliente cliente )
Recomendación Descripción severity
Se deben instalar las Instale actualizaciones faltantes de seguridad y críticas para Alto
actualizaciones del proteger sus conjuntos de escalado de máquinas virtuales
sistema en los de Windows y Linux.
conjuntos de escalado (Directiva relacionada: se deben instalar las actualizaciones
de máquinas virtuales del sistema en los conjuntos de escalado de máquinas
virtuales )
Se deben instalar las A las máquinas les faltan actualizaciones del sistema, de Alto
actualizaciones del seguridad y actualizaciones críticas. Las actualizaciones de
sistema en las máquinas software a menudo incluyen revisiones críticas para las
(con la tecnología del vulnerabilidades de seguridad. Dichas vulnerabilidades se
Centro de actualización) aprovechan con frecuencia en ataques de malware, por lo
que es fundamental mantener el software actualizado. Para
instalar todas las revisiones pendientes y proteger las
máquinas, siga los pasos de corrección.
(Ninguna directiva relacionada)
Se deben migrar las Virtual Machines (clásico) quedó en desuso y estás Alto
máquinas virtuales a máquinas virtuales se deben migrar a Azure Resource
nuevos recursos de Manager.
Azure Resource Dado que Azure Resource Manager tiene ahora
Manager funcionalidades completas de IaaS y otras mejoras, hemos
puesto en desuso las máquinas virtuales (VM) de IaaS
mediante Azure Service Manager (ASM) el 28 de febrero de
2020. Esta funcionalidad se retirará por completo el 1 de
marzo de 2023.
Las máquinas virtuales De manera predeterminada, los discos del sistema Alto
deben cifrar los discos operativo y de datos de una máquina virtual se cifran en
temporales, las cachés y reposo mediante claves administradas por la plataforma,
los flujos de datos entre los discos temporales y las memorias caché de datos no
los recursos de Proceso están cifrados, y los datos no se cifran cuando fluyen entre
y Almacenamiento los recursos de proceso y almacenamiento.
Para ver una comparación de las distintas tecnologías de
cifrado de disco en Azure, consulte,
https://aka.ms/diskencryptioncomparison .
Use Azure Disk Encryption para cifrar todos estos datos.
Ignore esta recomendación si:
1. Está usando la característica de cifrado en host, o 2. El
cifrado del lado servidor en Managed Disks cumple sus
requisitos de seguridad.
Más información en Cifrado del lado servidor de Azure Disk
Storage
Recomendación Descripción severity
vTPM debe estar Habilite el dispositivo TPM virtual en las máquinas virtuales Bajo
habilitado en las compatibles para facilitar el arranque medido y otras
máquinas virtuales características de seguridad del sistema operativo que
admitidas requieren un TPM. Una vez habilitado, vTPM se puede usar
para atestiguar la integridad del arranque. Esta evaluación
solo se aplica a las máquinas virtuales habilitadas para el
inicio seguro.
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
(Ninguna directiva relacionada)
[Versión preliminar]: las De forma predeterminada, los discos de datos y del sistema Alto
máquinas virtuales de operativo de una máquina virtual se cifran en reposo
Linux deben habilitar mediante claves administradas por la plataforma; los discos
Azure Disk Encryption o temporales y las cachés de datos no se cifran y los datos no
EncryptionAtHost se cifran cuando fluyen entre los recursos de proceso y
almacenamiento. Use Azure Disk Encryption o
EncryptionAtHost para cifrar todos estos datos. Visite
https://aka.ms/diskencryptioncomparison para comparar
las ofertas de cifrado. Esta directiva requiere que se
implementen dos requisitos previos en el ámbito de
asignación de directiva. Para más detalles, visite
https://aka.ms/gcpol .
(Directiva relacionada: [Versión preliminar]: las máquinas
virtuales de Linux deben habilitar Azure Disk Encryption o
EncryptionAtHost )
[Versión preliminar]: Las De forma predeterminada, los discos de datos y del sistema Alto
máquinas virtuales de operativo de una máquina virtual se cifran en reposo
Windows deben mediante claves administradas por la plataforma; los discos
habilitar Azure Disk temporales y las cachés de datos no se cifran y los datos no
Encryption o se cifran cuando fluyen entre los recursos de proceso y
EncryptionAtHost almacenamiento. Use Azure Disk Encryption o
EncryptionAtHost para cifrar todos estos datos. Visite
https://aka.ms/diskencryptioncomparison para comparar
las ofertas de cifrado. Esta directiva requiere que se
implementen dos requisitos previos en el ámbito de
asignación de directiva. Para más detalles, visite
https://aka.ms/gcpol .
(Directiva relacionada: [Versión preliminar]: las máquinas
virtuales de Windows deben habilitar Azure Disk Encryption
o EncryptionAtHost )
Recomendaciones del contenedor
Hay 27 recomendaciones en esta categoría.
Los clústeres de Kubernetes La extensión de Azure Policy para Kubernetes amplía Alto
habilitados para Azure Arc Gatekeeper v3, un webhook del controlador de
deben tener instalada la admisión de Open Policy Agent (OPA), para aplicar
extensión de Azure Policy imposiciones y medidas de seguridad a escala en los
clústeres de forma centralizada y coherente.
(Ninguna directiva relacionada)
Los clústeres de Kubernetes La extensión de Defender para Azure Arc proporciona Alto
habilitados para Azure Arc protección contra amenazas para los clústeres de
deben tener la extensión de Kubernetes habilitados para Arc. La extensión recopila
Defender instalada. datos de todos los nodos del plano de control
(maestro) del clúster y los envía a Microsoft Defender
para el back-end de Azure Defender para Kubernetes
Recomendación Descripción severity
Se deben aplicar los límites La aplicación de límites de CPU y memoria evita los Media
de CPU y memoria de los ataques de agotamiento de recursos (una forma de
contenedores ataque de denegación de servicio).
Se recomienda establecer los límites de los
contenedores para asegurarse de que el tiempo de
ejecución impide que el contenedor use más del límite
de recursos configurado.
Las instancias de Container Azure Private Link permite conectar la red virtual a Media
Registry deben usar Private servicios de Azure sin una dirección IP pública en el
Link origen o el destino. La plataforma Private Link
administra la conectividad entre el consumidor y los
servicios a través de la red troncal de Azure. Mediante
la asignación de puntos de conexión privados a los
registros de contenedor en lugar de a todo el servicio,
también estará protegido frente a riesgos de pérdida de
datos. Más información en: https://aka.ms/acr/private-
link .
(Directiva relacionada: las instancias de Container
Registry deben usar un vínculo privado )
Se deben evitar los Los contenedores no deben ejecutarse con una Media
contenedores con elevación elevación de privilegios a la raíz en el clúster de
de privilegios Kubernetes.
El atributo AllowPrivilegeEscalation controla si un
proceso puede obtener más privilegios que el proceso
primario.
(Directiva relacionada: los clústeres de Kubernetes no
deben permitir la elevación de privilegios del
contenedor )
Los contenedores solo Los contenedores que se ejecutan en los clústeres de Alto
deben usar perfiles de Kubernetes se deben limitar únicamente a perfiles de
AppArmor permitidos. AppArmor permitidos.
AppArmor (Application Armor) es un módulo de
seguridad de Linux que protege un sistema operativo y
sus aplicaciones frente a amenazas de seguridad. Para
usarlo, el administrador del sistema asocia un perfil de
seguridad de AppArmor a cada programa.
(Directiva relacionada: los contenedores de clúster de
Kubernetes solo deben usar perfiles de AppArmor
permitidos )
El sistema de archivos raíz Los contenedores deben ejecutarse con un sistema de Media
inmutable (de solo lectura) archivos raíz de solo lectura en el clúster de Kubernetes.
Recomendación Descripción severity
El servidor de API de Para asegurarse de que las aplicaciones de las redes, Alto
Kubernetes debe máquinas o subredes permitidas son las únicas que
configurarse con acceso pueden acceder al clúster, restrinja el acceso al servidor
restringido de API de Kubernetes. Para restringir el acceso, defina
los intervalos IP autorizados o configure los servidores
de API como clústeres privados, como se explica en
Creación de un clúster privado de Azure Kubernetes
Service.
(Directiva relacionada: los intervalos IP autorizados
deben definirse en Servicios de Kubernetes )
Los clústeres de Kubernetes El uso de HTTPS garantiza la autenticación y protege los Alto
solo deben ser accesibles datos en tránsito frente a ataques de intercepción de
mediante HTTPS nivel de red. Esta funcionalidad está disponible
actualmente con carácter general para
Kubernetes Service (AKS) y en versión preliminar para el
motor de AKS y Kubernetes con Azure Arc habilitado.
Para más información, visite
https://aka.ms/kubepolicydoc
(Directiva relacionada: Exigir la entrada HTTPS en el
clúster de Kubernetes )
Los clústeres de Kubernetes Para reducir la superficie expuesta a ataques de sus Alto
no deben otorgar contenedores, restrinja las funcionalidades
funcionalidades de CAP_SYS_ADMIN de Linux. Para más información,
seguridad consulte https://aka.ms/kubepolicydoc .
CAPSYSADMIN . (Ninguna directiva relacionada)
Los clústeres de Kubernetes Evite el uso del espacio de nombres predeterminado en Bajo
no deben usar el espacio de los clústeres de Kubernetes para proteger del acceso no
nombres predeterminado autorizado a los tipos de recurso ConfigMap, Pod,
Secret, Service y ServiceAccount. Para más información,
Recomendación Descripción severity
consulte https://aka.ms/kubepolicydoc .
(Directiva relacionada: Los clústeres de Kubernetes no
deben usar el espacio de nombres predeterminado )
Deben evitarse los Para evitar el acceso a los hosts sin restricciones, Media
contenedores con siempre que sea posible, evite los contenedores con
privilegios privilegios.
Los contenedores con privilegios tienen todas las
capacidades raíz de un equipo host. Se pueden usar no
solo como puntos de entrada para ataques, sino
también para distribuir código malintencionado o
malware en aplicaciones, hosts y redes en peligro.
Se debe usar el control de Para proporcionar un filtrado detallado de las acciones Alto
acceso basado en rol en los que los usuarios pueden realizar, use el control de
Recomendación Descripción severity
Se debe evitar la ejecución Los contenedores no se deben ejecutar como usuarios Alto
de contenedores como raíz en el clúster de Kubernetes. La ejecución de un
usuario raíz proceso como el usuario raíz dentro de un contenedor
lo ejecuta como raíz en el host. En caso de peligro, un
atacante tiene la raíz en el contenedor, y cualquier error
de configuración resulta más fácil de aprovechar.
(Directiva relacionada: los contenedores y pods de
clúster de Kubernetes solo deben ejecutarse con
identificadores de usuario y grupo aprobados )
Los servicios solo deben Para reducir la superficie expuesta a ataques del clúster Media
escuchar en los puertos de Kubernetes, restrinja el acceso a este limitando el
permitidos acceso de los servicios a los puertos configurados.
(Directiva relacionada: asegúrese de que los servicios
solo realizan escuchas en los puertos permitidos del
clúster de Kubernetes )
Recomendación Descripción severity
El uso de puertos y redes de Restringe el acceso de los pods a la red del host y el Media
hosts debe estar restringido intervalo de puertos de host permitidos en un clúster
de Kubernetes. Los pods creados con el atributo
hostNetwork habilitado compartirán el espacio de red
del nodo. Para evitar que el contenedor en peligro
rastree el tráfico de red, se recomienda no colocar los
pods en la red del host. Si tiene que exponer un puerto
de contenedor en la red del nodo y el uso de un puerto
de nodo del servicio Kubernetes no satisface sus
necesidades, otra posibilidad es especificar un atributo
hostPort para el contenedor en la especificación del
pod.
(Directiva relacionada: los pods del clúster de
Kubernetes solo pueden usar redes de host e intervalos
de puerto permitidos )
Recomendaciones de datos
Hay 78 recomendaciones en esta categoría.
una clave administrada aplicar cuando sea obligatorio para cumplir los requisitos de
por el cliente (CMK) . directivas de restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de
seguridad del ámbito aplicable y actualice el parámetro Effect
de la directiva correspondiente para auditar o exigir el uso
de claves administradas por el cliente. Más información en
Administrar directivas de seguridad
Las claves administradas por el cliente (CMK) suelen ser
necesarias para cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los datos almacenados
en Cognitive Services con una clave de Azure Key Vault
creada por el usuario y propiedad de este. Tiene control y
responsabilidad totales del ciclo de vida de la clave, incluidos
la rotación y administración. Más información sobre el
cifrado de CMK en https://aka.ms/cosmosdb-cmk .
(Directiva relacionada: las cuentas de Cognitive Services
deben habilitar el cifrado de datos con una clave
administrada por el cliente [CMK] )
Todos los tipos de Se recomienda habilitar todos los tipos de protección contra Media
protección contra amenazas avanzada en las instancias administradas de SQL.
amenazas avanzada La habilitación de todos los tipos protege contra la inyección
deben habilitarse en la de código SQL, las vulnerabilidades de base de datos y
configuración de la cualquier otra actividad anómala.
seguridad avanzada de (Ninguna directiva relacionada)
datos de las instancias
administradas de SQL.
Todos los tipos de Se recomienda habilitar todos los tipos de protección contra Media
Advanced Threat amenazas avanzada en los servidores SQL Server. La
Protection deben habilitación de todos los tipos protege contra la inyección de
habilitarse en la código SQL, las vulnerabilidades de base de datos y
configuración de cualquier otra actividad anómala.
Advanced Data (Ninguna directiva relacionada)
Security del servidor
SQL Server.
Los servicios de API La implementación de Azure Virtual Network ofrece una Media
Management deben seguridad y aislamiento mejorados, y permite colocar el
usar una red virtual servicio de API Management en una red enrutable sin
conexión a Internet cuyo acceso puede controlar. Estas redes
se pueden conectar a las redes locales mediante diversas
tecnologías de VPN, lo que permite el acceso a los servicios
de back-end dentro de la red o de forma local. El portal para
desarrolladores y la puerta de enlace de API pueden
configurarse para que sea accesible desde Internet o solo
dentro de la red virtual.
(Directiva relacionada: Los servicios de API Management
deben usar una red virtual )
App Configuration Azure Private Link permite conectar la red virtual a servicios Media
debe usar Private Link de Azure sin una dirección IP pública en el origen o el
destino. La plataforma Private Link administra la conectividad
entre el consumidor y los servicios a través de la red troncal
de Azure. Mediante la asignación de puntos de conexión
privados a las instancias de App Configuration en lugar de a
todo el servicio, además se protege frente a riesgos de
pérdida de datos. Más información en:
https://aka.ms/appconfig/private-endpoint .
(Directiva relacionada: App Configuration debe usar un
vínculo privado )
establecerse en 90
días, como mínimo
Azure Cache for Redis La implementación de Azure Virtual Network aporta más Media
debe residir en una red seguridad y aislamiento de su instancia de Azure Cache for
virtual Redis, así como subredes, directivas de control de acceso y
otras características para restringir aún más el acceso.
Cuando una instancia de Azure Cache for Redis se configure
con una red virtual, no será posible acceder a ella
públicamente, solo se podrá acceder a ella desde máquinas
virtuales y aplicaciones de dentro de la red virtual.
(Directiva relacionada: Azure Cache for Redis debe residir en
una red virtual )
Las cuentas de Azure Se deben definir reglas de firewall en las cuentas de Azure Media
Cosmos DB deben Cosmos DB para evitar el tráfico desde orígenes no
tener reglas de autorizados. Las cuentas que tienen al menos una regla de IP
firewall . definida con el filtro de red virtual habilitado se consideran
compatibles. Las cuentas que deshabilitan el acceso público
también se consideran compatibles.
(Directiva relacionada: Las cuentas de Azure Cosmos DB
deben tener reglas de firewall )
Los dominios de Azure Azure Private Link permite conectar la red virtual a servicios Media
Event Grid deben usar de Azure sin una dirección IP pública en el origen o el
Private Link destino. La plataforma Private Link administra la conectividad
entre el consumidor y los servicios a través de la red troncal
de Azure. Mediante la asignación de puntos de conexión
privados al dominio de Event Grid en lugar de a todo el
servicio, también estará protegido frente a riesgos de
pérdida de datos. Más información en:
https://aka.ms/privateendpoints .
(Directiva relacionada: los dominios de Azure Event Grid
deben usar un vínculo privado )
Los temas de Azure Azure Private Link permite conectar la red virtual a servicios Media
Event Grid deben usar de Azure sin una dirección IP pública en el origen o el
Private Link destino. La plataforma Private Link administra la conectividad
entre el consumidor y los servicios a través de la red troncal
de Azure. Mediante la asignación de puntos de conexión
privados a los temas en lugar de a todo el servicio, además
se protege frente a riesgos de pérdida de datos. Más
información en: https://aka.ms/privateendpoints .
(Directiva relacionada: los temas de Azure Event Grid deben
usar un vínculo privado )
Las áreas de trabajo de Azure Private Link permite conectar la red virtual a servicios Media
Azure Machine de Azure sin una dirección IP pública en el origen o el
Learning deben usar destino. La plataforma Private Link administra la conectividad
un vínculo privado . entre el consumidor y los servicios a través de la red troncal
de Azure. Mediante la asignación de puntos de conexión
privados a las áreas de Azure Machine Learning en lugar de a
todo el servicio, además se protege frente a riesgos de
pérdida de datos. Más información en:
https://aka.ms/azureml-workspaces-privatelink .
(Directiva relacionada: las áreas de trabajo de Azure Machine
Learning deben usar un vínculo privado )
Azure SignalR Service Azure Private Link permite conectar la red virtual a servicios Media
debe usar Private Link de Azure sin una dirección IP pública en el origen o el
Recomendación Descripción severity
Azure Spring Cloud Las instancias de Azure Spring Cloud deberían utilizar la Media
debe usar la inserción inserción de red virtual con los fines siguientes: 1. Aislar
de red Azure Spring Cloud de Internet. 2. Permitir que Azure Spring
Cloud interactúe con sistemas en centros de datos locales o
con el servicio de Azure en otras redes virtuales. 3. Permite a
los clientes controlar las comunicaciones de red entrantes y
salientes para Azure Spring Cloud.
(Directiva relacionada: Azure Spring Cloud debe usar la
inserción de red )
Las cuentas de Esta directiva audita las cuentas de Cognitive Services sin Bajo
Cognitive Services usar el cifrado de datos. Para cada cuenta de Cognitive
deben tener habilitado Services con almacenamiento, debe habilitar el cifrado de
el cifrado de datos datos con una clave administrada por el cliente o por
Microsoft.
(Directiva relacionada: Las cuentas de Cognitive Services
deben habilitar el cifrado de datos )
Las cuentas de Se debe restringir el acceso de red a las cuentas de Cognitive Media
Cognitive Services Services. Configure reglas de red, de forma que solo las
deben restringir el aplicaciones de redes permitidas pueden acceder a la cuenta
acceso a la red de Cognitive Services. Para permitir conexiones desde
clientes específicos locales o de Internet, se puede conceder
acceso al tráfico procedente de redes virtuales de Azure
específicas o a intervalos de direcciones IP de Internet
públicas.
(Directiva relacionada: Se debe restringir el acceso de red a
las cuentas de Cognitive Services )
Las cuentas de Esta directiva audita las cuentas de Cognitive Services sin Bajo
Cognitive Services usar cifrado de datos ni almacenamiento propiedad del
deben usar un cliente. Para cada cuenta de Cognitive Services con
almacenamiento almacenamiento, use el almacenamiento propiedad del
propiedad del cliente o cliente o habilite el cifrado de datos.
Recomendación Descripción severity
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico de Azure permite volver a crear seguimientos de actividad con fines de
Data Lake Store deben investigación cuando se produce un incidente de seguridad
estar habilitados o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure
Data Lake Store deben estar habilitados )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico de Data permite volver a crear seguimientos de actividad con fines de
Lake Analytics deben investigación cuando se produce un incidente de seguridad
estar habilitados o se pone en peligro la red.
(Directiva relacionada: s registros de diagnóstico de Data
Lake Analytics deben estar habilitados )
La opción para enviar Para asegurarse de que las personas pertinentes de su Bajo
notificaciones por organización reciban una notificación cuando se produzca
correo electrónico para una vulneración de seguridad potencial en una de sus
alertas de gravedad suscripciones, habilite las notificaciones por correo
alta debe estar electrónico a fin de obtener alertas de gravedad alta en
habilitada. Defender for Cloud.
(Directiva relacionada: la notificación por correo electrónico
de las alertas de gravedad alta debe estar habilitada )
La opción para enviar Para asegurarse de que los propietarios de la suscripción Media
notificaciones por reciban una notificación cuando se produzca una vulneración
correo electrónico al de seguridad potencial en su suscripción, establezca
propietario de la notificaciones por correo electrónico para los propietarios de
suscripción en relación la suscripción a fin de que reciban alertas de gravedad alta
a alertas de gravedad en Defender for Cloud.
alta debe estar (Directiva relacionada: la notificación por correo electrónico
habilitada. al propietario de la suscripción en alertas de gravedad alta
debe estar habilitada )
Exigir una conexión Azure Database for MySQL permite conectar el servidor de Media
SSL debe estar Azure Database for MySQL con aplicaciones cliente mediante
habilitado en los Capa de sockets seguros (SSL).
servidores de bases de La aplicación de conexiones SSL entre el servidor de bases de
datos MySQL datos y las aplicaciones cliente facilita la protección frente a
ataques de tipo "Man in the middle" al cifrar el flujo de datos
entre el servidor y la aplicación.
Esta configuración exige que SSL esté siempre habilitado
para el acceso al servidor de bases de datos.
(Directiva relacionada: la aplicación de la conexión SSL debe
Recomendación Descripción severity
La copia de seguridad Azure Database for MariaDB le permite elegir la opción de Bajo
con redundancia redundancia para el servidor de bases de datos.
geográfica debe estar Se puede establecer en un almacenamiento de copia de
habilitada para Azure seguridad con redundancia geográfica donde los datos no
Database for MariaDB solo se almacenan dentro de la región en la que se hospeda
el servidor, sino que también se replican en una región
emparejada para proporcionar opciones de recuperación en
caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia
geográfica para copia de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de seguridad con
redundancia geográfica debe estar habilitada para Azure
Database for MariaDB )
La copia de seguridad Azure Database for MySQL le permite elegir la opción de Bajo
con redundancia redundancia para el servidor de bases de datos.
geográfica debe estar Se puede establecer en un almacenamiento de copia de
habilitada para Azure seguridad con redundancia geográfica donde los datos no
Database for MySQL solo se almacenan dentro de la región en la que se hospeda
el servidor, sino que también se replican en una región
emparejada para proporcionar opciones de recuperación en
caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia
Recomendación Descripción severity
La copia de seguridad Azure Database for PostgreSQL le permite elegir la opción de Bajo
con redundancia redundancia para el servidor de bases de datos.
geográfica debe estar Se puede establecer en un almacenamiento de copia de
habilitada para Azure seguridad con redundancia geográfica donde los datos no
Database for solo se almacenan dentro de la región en la que se hospeda
PostgreSQL el servidor, sino que también se replican en una región
emparejada para proporcionar opciones de recuperación en
caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia
geográfica para copia de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de seguridad con
redundancia geográfica debe estar habilitada para Azure
Database for PostgreSQL )
Los repositorios de GitHub usa el análisis de código para analizar código con el Media
GitHub deben tener fin de encontrar vulnerabilidades de seguridad y errores en
habilitado el análisis de el código. El escaneo de código puede usarse para encontrar,
código clasificar y priorizar las correcciones de los problemas
existentes en su código. El análisis del código también puede
evitar que los desarrolladores generen nuevos problemas.
Los escaneos se pueden programar para días y horas
específicas, o los escaneos se pueden activar cuando se
produce un evento específico en el repositorio, como un
push. Si el escaneo de código encuentra una posible
vulnerabilidad o error en el código, GitHub muestra una
alerta en el repositorio. Una vulnerabilidad es un problema
en el código de un proyecto que se puede aprovechar para
dañar la confidencialidad, la integridad o la disponibilidad
del proyecto.
(Ninguna directiva relacionada)
Se debe habilitar Microsoft Defender para SQL es un paquete unificado que Alto
Microsoft Defender ofrece funcionalidades avanzadas de seguridad de SQL.
para servidores de Incluye una funcionalidad para mostrar y mitigar las
Microsoft Azure SQL vulnerabilidades potenciales de una base de datos, mediante
Database la detección de actividades anómalas que puedan indicar
una amenaza para dicha base de datos, y el descubrimiento
y clasificación de datos confidenciales.
Importante: Las protecciones de este plan se cobran como se
muestra en la página de planes de Defender. Si no tiene
ningún servidor Azure SQL Database en esta suscripción, no
se le aplicarán cargos. Si más adelante crea servidores de
Azure SQL Database en esta suscripción, se protegerán
automáticamente y comenzarán a aplicarse cargos. Más
información sobre los detalles de los precios por región
Más información en Introducción a Microsoft Defender para
SQL
(Directiva relacionada: se debe habilitar Azure Defender para
servidores de Microsoft Azure SQL Database )
Se debe habilitar Microsoft Defender para DNS proporciona una capa Alto
Microsoft Defender adicional de protección para los recursos en la nube
para DNS mediante la supervisión continua de todas las consultas de
DNS de los recursos de Azure. Defender para DNS alerta
sobre actividades sospechosas en la capa DNS. Más
información en Introducción a Microsoft Defender para DNS
La habilitación de este plan de Defender genera cargos.
Obtenga información sobre los detalles de los precios por
región en la página de precios de Defender for Cloud:
https://azure.microsoft.com/services/defender-for-
Recomendación Descripción severity
cloud/#pricing .
(Ninguna directiva relacionada)
Azure.
Más información en Introducción a Microsoft Defender para
servidores.
(Ninguna directiva relacionada)
Se debe habilitar Microsoft Defender para SQL es un paquete unificado que Alto
Microsoft Defender ofrece funcionalidades avanzadas de seguridad de SQL.
para servidores Incluye una funcionalidad para mostrar y mitigar las
SQL Server en las vulnerabilidades potenciales de una base de datos, mediante
máquinas la detección de actividades anómalas que puedan indicar
una amenaza para dicha base de datos, y el descubrimiento
y clasificación de datos confidenciales.
Se debe habilitar Microsoft Defender para SQL es un paquete unificado que Alto
Microsoft Defender ofrece funcionalidades avanzadas de seguridad de SQL.
para SQL en los Expone y mitiga posibles vulnerabilidades de la base de
servidores de Azure datos y detecta actividades anómalas que podrían indicar
SQL Server una amenaza para la base de datos. Microsoft Defender para
desprotegidos SQL se factura como se muestra en los detalles de precios
por región .
(Directiva relacionada: Advanced Data Security debe estar
habilitado en los servidores de SQL Server )
Microsoft Defender Microsoft Defender para SQL es un paquete unificado que Alto
para SQL debe ofrece funcionalidades avanzadas de seguridad de SQL.
habilitarse en las Expone y mitiga posibles vulnerabilidades de la base de
instancias de SQL datos y detecta actividades anómalas que podrían indicar
Managed Instance una amenaza para la base de datos. Microsoft Defender para
desprotegidas . SQL se factura como se muestra en los detalles de precios
por región .
(Directiva relacionada: Advanced Data Security debe estar
habilitado en Instancia administrada de SQL )
Se debe habilitar Microsoft Defender para Storage detecta intentos inusuales y Alto
Microsoft Defender potencialmente perjudiciales de acceder a las cuentas de
Recomendación Descripción severity
Network Watcher debe Network Watcher es un servicio regional que permite Bajo
estar habilitado supervisar y diagnosticar problemas en un nivel de escenario
de red mediante Azure. La supervisión de nivel de escenario
le permite diagnosticar problemas en una vista de nivel de
red de un extremo a otro. Las herramientas de visualización y
diagnóstico de red que incluye Network Watcher le ayudan a
conocer, diagnosticar y obtener información acerca de
cualquier red de Azure.
(Directiva relacionada: Network Watcher debe estar
habilitado )
Las conexiones de Las conexiones de punto de conexión privado garantizan una Media
punto de conexión comunicación segura al habilitar la conectividad privada con
privado en Azure SQL Azure SQL Database.
Database deben estar (Directiva relacionada: Las conexiones de punto de conexión
habilitadas privado en Azure SQL Database deben estar habilitadas )
El punto de conexión Las conexiones de punto de conexión privado garantizan una Media
privado debe estar comunicación segura al permitir la conectividad privada con
habilitado para Azure Database for MariaDB.
servidores MariaDB Configure una conexión de punto de conexión privado para
permitir el acceso al tráfico que solo proviene de redes
conocidas y evitar el acceso desde todas las demás
direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe
estar habilitado para servidores MariaDB )
Recomendación Descripción severity
El punto de conexión Las conexiones de punto de conexión privado garantizan una Media
privado debe estar comunicación segura al permitir la conectividad privada a
habilitado para Azure Database for MySQL.
servidores MySQL Configure una conexión de punto de conexión privado para
permitir el acceso al tráfico que solo proviene de redes
conocidas y evitar el acceso desde todas las demás
direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe
estar habilitado para servidores MySQL )
El punto de conexión Las conexiones de punto de conexión privado garantizan una Media
privado debe estar comunicación segura al permitir la conectividad privada con
habilitado para Azure Database for PostgreSQL.
servidores PostgreSQL Configure una conexión de punto de conexión privado para
permitir el acceso al tráfico que solo proviene de redes
conocidas y evitar el acceso desde todas las demás
direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe
estar habilitado para servidores PostgreSQL )
El acceso a la red Esta directiva audita las cuentas de Cognitive Services del Media
pública se debe entorno con acceso a la red pública habilitado. El acceso a la
deshabilitar para las red pública debe estar deshabilitado, de forma que solo se
cuentas de Cognitive permitan conexiones desde puntos de conexión privados.
Services (Directiva relacionada: Se debe deshabilitar el acceso de red
público para las cuentas de Cognitive Services )
El acceso a las redes Deshabilite la propiedad de acceso a la red pública para Media
públicas debe estar mejorar la seguridad y garantizar que solo se pueda acceder
deshabilitado para los a la instancia de Azure Database for MySQL desde un punto
servidores MySQL de conexión privado. Esta configuración deshabilita
estrictamente el acceso desde cualquier espacio de
direcciones público que esté fuera del intervalo de
direcciones IP de Azure y deniega todos los inicios de sesión
que coincidan con las reglas de firewall basadas en IP o en
red virtual.
(Directiva relacionada: el acceso a las redes públicas debe
estar deshabilitado para los servidores de MySQL )
Redis Cache debe Habilite solo las conexiones a Redis Cache que pasan por Alto
permitir el acceso solo SSL. El uso de conexiones seguras garantiza la autenticación
mediante SSL. entre el servidor y el servicio, y protege los datos en tránsito
de ataques de nivel de red, como "man in-the-middle",
interceptación y secuestro de sesión.
(Directiva relacionada: solo se deben habilitar conexiones
seguras a la instancia de Azure Cache for Redis )
Las bases de datos SQL La evaluación de vulnerabilidades de SQL examina la base de Alto
deben tener resueltos datos en busca de vulnerabilidades de seguridad y expone
los hallazgos de las posibles desviaciones de los procedimientos
vulnerabilidades. recomendados, como errores de configuración, permisos
excesivos y datos confidenciales sin protección. La corrección
de las vulnerabilidades detectadas puede mejorar
considerablemente la posición de seguridad de la base de
datos. Más información
(Directiva relacionada: se deben corregir las vulnerabilidades
de las bases de datos SQL )
Los servidores SQL Aprovisione un administrador de Azure AD para SQL Server a Alto
deben tener un fin de habilitar la autenticación de Azure AD. La
administrador de autenticación de Azure AD permite la administración
Azure Active Directory simplificada de permisos y la administración centralizada de
aprovisionado. identidades de usuarios de base de datos y otros servicios de
Microsoft.
(Directiva relacionada: debe aprovisionarse un administrador
de Azure Active Directory para los servidores de SQL
Server )
Se deben migrar las Para beneficiarse de las nuevas funcionalidades de Resource Bajo
cuentas de Manager, puede migrar las implementaciones existentes
almacenamiento a los desde el modelo de implementación clásica. Resource
nuevos recursos de Manager permite disfrutar de mejoras en la seguridad como:
Azure Resource mayor control de acceso (RBAC), mejor auditoría,
Manager gobernanza e implementación basados en ARM, acceso a
identidades administradas, acceso a secretos de Key Vault,
autenticación basada en Azure AD y compatibilidad con
etiquetas y grupos de recursos para facilitar la administración
de seguridad. Más información
(Directiva relacionada: las cuentas de almacenamiento se
deben migrar a los nuevos recursos de Azure Resource
Manager )
Recomendación Descripción severity
El cifrado de datos Habilite el cifrado de datos transparente para proteger los Bajo
transparente en bases datos en reposo y cumplir los requisitos de cumplimiento
de datos SQL debe (Directiva relacionada: el cifrado de datos transparente en
estar habilitado bases de datos SQL debe estar habilitado )
Las plantillas de VM Audite las plantillas de VM Image Builder que no tengan Media
Image Builder deben ninguna red virtual configurada. Cuando no se ha
usar Private Link configurado una red virtual, se creará y usará una dirección
IP pública en su lugar, que puede exponer recursos
directamente a Internet y aumentar la superficie expuesta a
ataques potencial.
(Directiva relacionada: las plantillas de Azure VM Image
Builder deben usar un vínculo privado )
Web Application Implemente Azure Web Application Firewall (WAF) delante Bajo
Firewall (WAF) debe de las aplicaciones web de acceso público para una
estar habilitado en el inspección adicional del tráfico entrante. Web Application
servicio Azure Front Firewall (WAF) ofrece una protección centralizada de las
Door Service aplicaciones web frente a vulnerabilidades de seguridad
comunes, como la inyección de SQL, el scripting entre sitios y
las ejecuciones de archivos locales y remotas. También
permite restringir el acceso a las aplicaciones web por países
o regiones, intervalos de direcciones IP y otros parámetros
http(s) por medio de reglas personalizadas.
(Directiva relacionada: Web Application Firewall (WAF) debe
habilitarse para Azure Front Door Service )
Recomendaciones de IdentityAndAccess
Hay 29 recomendaciones en esta categoría.
Deben estar habilitadas Si solo usa contraseñas para autenticar a sus usuarios, está Alto
para MFA las cuentas dejando un vector de ataque abierto. Los usuarios suelen
con permisos de usar contraseñas no seguras para varios servicios. Al habilitar
propietario de los la Autenticación multifactor (MFA), proporciona una mejor
recursos de Azure. seguridad para las cuentas, a la vez que permite a los
usuarios autenticarse en casi cualquier aplicación con inicio
de sesión único (SSO). La autenticación multifactor es un
proceso por el que se solicita a los usuarios, durante el
proceso de inicio de sesión, una forma adicional de
identificación. Por ejemplo, se puede enviar un código a su
teléfono celular o se puede solicitar un examen de huellas
digitales. Se recomienda habilitar MFA para todas las
cuentas que tengan permisos de propietario en los recursos
de Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí:
Administración del cumplimiento de la autenticación
multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Recomendación Descripción severity
Deben estar habilitadas Si solo usa contraseñas para autenticar a sus usuarios, está Alto
para MFA las cuentas dejando un vector de ataque abierto. Los usuarios suelen
con permisos de usar contraseñas no seguras para varios servicios. Al habilitar
lectura de los recursos la Autenticación multifactor (MFA), proporciona una mejor
de Azure. seguridad para las cuentas, a la vez que permite a los
usuarios autenticarse en casi cualquier aplicación con inicio
de sesión único (SSO). La autenticación multifactor es un
proceso por el que se solicita a los usuarios, durante el
proceso de inicio de sesión, una forma adicional de
identificación. Por ejemplo, se puede enviar un código a su
teléfono celular o se puede solicitar un examen de huellas
digitales. Se recomienda habilitar MFA para todas las
cuentas que tengan permisos de lectura en los recursos de
Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí:
Administración del cumplimiento de la autenticación
multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Deben estar habilitadas Si solo usa contraseñas para autenticar a sus usuarios, está Alto
para MFA las cuentas dejando un vector de ataque abierto. Los usuarios suelen
con permisos de usar contraseñas no seguras para varios servicios. Al habilitar
escritura de los la Autenticación multifactor (MFA), proporciona una mejor
recursos de Azure. seguridad para las cuentas, a la vez que permite a los
usuarios autenticarse en casi cualquier aplicación con inicio
de sesión único (SSO). La autenticación multifactor es un
proceso por el que se solicita a los usuarios, durante el
proceso de inicio de sesión, una forma adicional de
identificación. Por ejemplo, se puede enviar un código a su
teléfono celular o se puede solicitar un examen de huellas
digitales. Se recomienda habilitar MFA para todas las
cuentas que tengan permisos de escritura en los recursos de
Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí:
Administración del cumplimiento de la autenticación
multifactor (MFA) en las suscripciones.
(Ninguna directiva relacionada)
Las cuentas de Azure La mejor manera de autenticarse en los servicios de Azure es Media
Cosmos DB deben usar mediante control de acceso basado en rol (RBAC). RBAC le
Azure Active Directory permite mantener el principio de privilegio mínimo y admite
como único método de la capacidad de revocar permisos como un método eficaz de
autenticación . respuesta cuando se pone en peligro. Puede configurar la
cuenta de Azure Cosmos DB para aplicar RBAC como único
método de autenticación. Cuando se configura la aplicación,
se denegarán todos los demás métodos de acceso (claves
Recomendación Descripción severity
Deben quitarse las Las cuentas que se han bloqueado para iniciar sesión en Alto
cuentas bloqueadas Active Directory deben quitarse de los recursos de Azure.
con permisos de Estas cuentas pueden ser objetivo de los atacantes que
propietario de los buscan formas de acceder a los datos sin ser detectados.
recursos de Azure. (Ninguna directiva relacionada)
Las cuentas Las cuentas que se han bloqueado para iniciar sesión en Alto
bloqueadas con Active Directory deben quitarse de los recursos de Azure.
permisos de lectura y Estas cuentas pueden ser objetivo de los atacantes que
escritura en los buscan formas de acceder a los datos sin ser detectados.
recursos de Azure (Ninguna directiva relacionada)
deberían quitarse
Las cuentas en desuso Las cuentas de usuario cuyo inicio de sesión se ha Alto
se deben quitar de las bloqueado deben quitarse de las suscripciones.
suscripciones. Estas cuentas pueden ser objetivo de los atacantes que
buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en desuso deben quitarse
de la suscripción )
Las cuentas en desuso Las cuentas de usuario cuyo inicio de sesión se ha Alto
con permisos de bloqueado deben quitarse de las suscripciones.
propietario deben Estas cuentas pueden ser objetivo de los atacantes que
quitarse de la buscan formas de acceder a los datos sin ser detectados.
suscripción. (Directiva relacionada: las cuentas en desuso con permisos
de propietario deben quitarse de la suscripción )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico en Key permite volver a crear seguimientos de actividad con fines
Vault deben estar de investigación cuando se produce un incidente de
habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Key
Vault deben habilitarse )
Las cuentas externas Las cuentas con permisos de propietario que tienen Alto
con permisos de nombres de dominio diferentes (cuentas externas) se deben
propietario deben eliminar de la suscripción. Esto evita el acceso no
quitarse de las supervisado. Estas cuentas pueden ser objetivo de los
suscripciones. atacantes que buscan formas de acceder a los datos sin ser
detectados.
(Directiva relacionada: Las cuentas externas con permisos de
propietario deben quitarse de la suscripción )
Las cuentas externas Las cuentas con permisos de lectura que tienen nombres de Alto
con permisos de dominio diferentes (cuentas externas) se deben eliminar de
la suscripción. Esto evita el acceso no supervisado. Estas
Recomendación Descripción severity
lectura se deben quitar cuentas pueden ser objetivo de los atacantes que buscan
de las suscripciones. formas de acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas externas con permisos de
lectura se deben eliminar de la suscripción )
Las cuentas externas Las cuentas con permisos de escritura que tienen nombres Alto
con permisos de de dominio diferentes (cuentas externas) se deben eliminar
escritura se deben de la suscripción. Esto evita el acceso no supervisado. Estas
quitar de las cuentas pueden ser objetivo de los atacantes que buscan
suscripciones. formas de acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas externas con permisos de
escritura deben quitarse de la suscripción )
El firewall debe estar El firewall del almacén de claves evita que el tráfico no Media
habilitado en Key Vault autorizado lo alcance y proporciona una capa adicional de
protección para los secretos. Habilite el firewall para
asegurarse de que solo el tráfico de las redes permitidas
pueda acceder al almacén de claves.
(Directiva relacionada: el firewall debe estar habilitado en
Key Vault )
Deben quitarse las Las cuentas con permisos de propietario que se han Alto
cuentas de invitado aprovisionado fuera del inquilino de Azure Active Directory
con permisos de (nombres de dominio diferentes), deben quitarse de los
propietario de los recursos de Azure. Las cuentas de invitado no se administran
recursos de Azure. con los mismos estándares que las identidades de inquilino
empresarial. Estas cuentas pueden ser objetivo de los
atacantes que buscan formas de acceder a los datos sin ser
detectados.
(Ninguna directiva relacionada)
Deben quitarse las Las cuentas con permisos de lectura que se han Alto
cuentas de invitado aprovisionado fuera del inquilino de Azure Active Directory
con permisos de (nombres de dominio diferentes), deben quitarse de los
lectura de los recursos recursos de Azure. Las cuentas de invitado no se administran
de Azure. con los mismos estándares que las identidades de inquilino
empresarial. Estas cuentas pueden ser objetivo de los
atacantes que buscan formas de acceder a los datos sin ser
detectados.
(Ninguna directiva relacionada)
Deben quitarse las Las cuentas con permisos de escritura que se han Alto
cuentas de invitado aprovisionado fuera del inquilino de Azure Active Directory
con permisos de (nombres de dominio diferentes), deben quitarse de los
escritura de los recursos de Azure. Las cuentas de invitado no se administran
recursos de Azure. con los mismos estándares que las identidades de inquilino
empresarial. Estas cuentas pueden ser objetivo de los
atacantes que buscan formas de acceder a los datos sin ser
Recomendación Descripción severity
detectados.
(Ninguna directiva relacionada)
Las claves de Key Vault Las claves criptográficas deben tener una fecha de Alto
deben tener una fecha expiración definida y no ser permanentes. Las claves que no
de expiración expiran proporcionan a los posibles atacantes más tiempo
para hacerse con ellas. Por ello, se recomienda como
práctica de seguridad establecer fechas de expiración en las
claves criptográficas.
(Directiva relacionada: las claves de Key Vault deben tener
una fecha de expiración )
Los secretos de Key Los secretos deben tener una fecha de expiración definida y Alto
Vault deben tener una no ser permanentes. Los secretos que no expiran
fecha de expiración proporcionan a un posible atacante más tiempo para
ponerlos en peligro. Por ello, se recomienda como práctica
de seguridad establecer fechas de expiración en los secretos.
(Directiva relacionada: los secretos de Key Vault deben tener
una fecha de expiración )
MFA debe estar Multi-Factor Authentication (MFA) debe estar habilitada para Alto
habilitado en las todas las cuentas de la suscripción que tengan permisos de
cuentas con permisos propietario, a fin de evitar una brecha de seguridad en las
de propietario en las cuentas o los recursos.
suscripciones. (Directiva relacionada: debe habilitarse la autenticación
Recomendación multifactor
Descripciónen las cuentas con permisos de propietario de la severity
suscripción )
MFA debe estar Multi-Factor Authentication (MFA) debe estar habilitada para Alto
habilitado en las todas las cuentas de la suscripción que tengan permisos de
cuentas con permisos lectura, a fin de evitar una brecha de seguridad en las
de lectura de las cuentas o los recursos.
suscripciones. (Directiva relacionada: debe habilitarse la autenticación
multifactor en las cuentas con permisos de lectura de la
suscripción )
MFA debe estar Multi-Factor Authentication (MFA) debe estar habilitada para Alto
habilitado en las todas las cuentas de la suscripción que tengan permisos de
cuentas con permisos escritura, a fin de evitar una brecha de seguridad en las
de escritura de las cuentas o los recursos.
suscripciones. (Directiva relacionada: debe habilitarse la autenticación
multifactor en las cuentas con permisos de escritura de la
suscripción )
Se debe habilitar Microsoft Defender for Cloud incluye Microsoft Defender Alto
Microsoft Defender para Key Vault, lo que proporciona una capa adicional de
para Key Vault inteligencia de seguridad.
Microsoft Defender para Key Vault detecta intentos inusuales
y potencialmente perjudiciales de acceder a las cuentas de
Key Vault o de vulnerarlas.
Importante: Las protecciones de este plan se cobran como
se muestra en la página de planes de Defender. Si no tiene
ningún almacén de claves en esta suscripción, no se le
cobrará. Si más adelante crea almacenes de claves en esta
suscripción, se protegerán automáticamente y comenzarán a
aplicarse cargos. Más información sobre los detalles de los
precios por región
Más información en Introducción a Microsoft Defender para
Key Vault
(Directiva relacionada: se debe habilitar Azure Defender para
Key Vault )
Se debe configurar un Private Link proporciona una manera de conectar Key Vault a Media
punto de conexión los recursos de Azure sin enviar tráfico a través de la red
privado para Key Vault pública de Internet. Un vínculo privado proporciona varios
niveles de protección contra la filtración de datos.
(Directiva relacionada: se debe configurar un punto de
conexión privado para Key Vault )
Debe haber más de un Designe a más de un propietario de la suscripción para tener Alto
propietario asignado a redundancia de acceso de administrador.
las suscripciones. (Directiva relacionada: debe hacer más de un propietario
asignado a la suscripción )
Recomendaciones de IoT
Hay 4 recomendaciones en esta categoría.
La directiva del filtro de La configuración de filtro IP necesita tener reglas definidas Media
IP predeterminada debe para tráfico permitido y denegar de forma predeterminada
ser Denegar. el resto del tráfico.
(Ninguna directiva relacionada)
Los registros de Habilite los registros y consérvelos por hasta un año. Esto Bajo
diagnóstico de IoT Hub le permite volver a crear seguimientos de actividad con
deben estar habilitados fines de investigación cuando se produce un incidente de
seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de IoT
Hub deben estar habilitados )
Se debe restringir el Examine los valores del acceso de red en la configuración Bajo
acceso a las cuentas de del firewall de su cuenta de almacenamiento. Se
almacenamiento con recomienda configurar reglas de red de modo que solo las
configuraciones de red aplicaciones de redes permitidas puedan acceder a la
virtual y firewall cuenta de almacenamiento. Para permitir conexiones
desde clientes específicos locales o de Internet, se puede
conceder acceso al tráfico procedente de redes virtuales
de Azure específicas o a intervalos de direcciones IP de
Internet públicas.
(Directiva relacionada: se debe restringir el acceso de red a
las cuentas de almacenamiento )
Todos los puertos de red Defender for Cloud ha identificado que algunas de las Alto
deben estar restringidos reglas de entrada de sus grupos de seguridad de red son
en los grupos de demasiado permisivas. Las reglas de entrada no deben
seguridad de red permitir el acceso desde los intervalos "Cualquiera" o
asociados a la máquina "Internet". Esto podría permitir que los atacantes pudieran
virtual acceder a sus recursos.
(Directiva relacionada: en los grupos de seguridad de red
asociados a la máquina virtual, todos los puertos de red
deben estar restringidos )
Azure DDoS Protection Defender for Cloud ha detectado redes virtuales en las que Media
Standard debe estar el servicio de protección contra DDoS no protege recursos
habilitado de Application Gateway. Estos recursos contienen
direcciones IP públicas. Permita la mitigación de los
Recomendación Descripción severity
Las máquinas virtuales Para proteger su máquina virtual de posibles amenazas, Alto
accesibles desde Internet limite el acceso a la misma con un grupo de seguridad de
deben estar protegidas red (NSG). Los grupos de seguridad de red contienen
con grupos de seguridad reglas de la lista de control de acceso (ACL) que permiten
de red o deniegan el tráfico de red a la máquina virtual desde
otras instancias, que se encuentran tanto en la misma
subred como fuera de ella.
Para mantener la máquina tan protegida como sea
posible, se debe restringir su acceso a Internet y se debe
habilitar un grupo de seguridad de red en la subred.
Las máquinas virtuales con una gravedad "Alta" son
aquellas a las que se puede acceder desde Internet.
(Directiva relacionada: las máquinas virtuales a las que se
puede acceder desde Internet deben estar protegidas con
grupos de seguridad de red )
Las máquinas deben Las condiciones de uso de Azure prohíben el uso de Alto
tener puertos cerrados servicios de Azure de maneras que puedan dañar,
que puedan exponer deshabilitar, sobrecargar o afectar a cualquier servidor de
vectores de ataque Microsoft o a la red. Esta recomendación enumera los
puertos expuestos que deben cerrarse para conseguir una
seguridad continuada. También ilustra la amenaza
potencial para cada puerto.
(Ninguna directiva relacionada)
Se deben cerrar los Los puertos de administración remota abiertos exponen la Media
puertos de máquina virtual a un alto nivel de riesgo de recibir ataques
administración en las basados en Internet. Estos ataques intentan averiguar las
máquinas virtuales credenciales por medio de fuerza bruta a fin de obtener
acceso de administrador a la máquina
(Directiva relacionada: Los puertos de administración
deben estar cerrados en las máquinas virtuales )
Las máquinas virtuales Para proteger de posibles amenazas a cualquier máquina Bajo
sin conexión a Internet virtual a la que no se pueda acceder desde Internet, limite
deben protegerse con el acceso a ella con un grupo de seguridad de red (NSG).
grupos de seguridad de Los grupos de seguridad de red contienen reglas de la
red lista de control de acceso (ACL) que permiten o deniegan
el tráfico de red a la máquina virtual desde otras
instancias, independientemente de que se encuentren en
la misma subred o fuera de ella.
Tenga en cuenta que para mantener la máquina tan
protegida como sea posible, se debe restringir su acceso a
Internet y se debe habilitar un grupo de seguridad de red
en la subred.
(Directiva relacionada: las máquinas virtuales sin conexión
a Internet deben protegerse con grupos de seguridad de
red )
Las subredes deben estar Proteja la subred de posibles amenazas mediante la Bajo
asociadas con un grupo restricción del acceso con un grupo de seguridad de red
de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de
control de acceso (ACL) que permiten o deniegan el tráfico
de red a la subred. Cuando un grupo de seguridad de red
está asociado a una subred, las reglas de ACL se aplican
tanto a todas las instancias de la máquina virtual como a
los servicios integrados de esa subred, pero no se aplican
al tráfico interno de la subred. Para proteger los recursos
de la misma subred entre sí, habilite el grupo de seguridad
Recomendación Descripción severity
Azure Firewall debe Algunas de sus redes virtuales no están protegidas con un Bajo
proteger las redes firewall. Use Azure Firewall para restringir el acceso a sus
virtuales redes virtuales y evitar posibles amenazas. Más
información acerca de Azure Firewall .
(Directiva relacionada: todo el tráfico de Internet debe
enrutarse mediante la instancia de Azure Firewall
implementada )
Recomendaciones de API
Recomendación Descripción y directiva relacionada severity
(Versión preliminar) Se Habilite el plan de Defender para API para detectar y Alto
debe habilitar proteger los recursos de las API frente a ataques y
Microsoft Defender para configuraciones incorrectas de seguridad. Más
API información
(Versión preliminar) Las La incorporación de las API a Defender para API requiere Alto
API de Azure API el uso de proceso y memoria en el servicio Azure API
Management deben Management. Supervise el rendimiento del servicio Azure
incorporarse a Defender API Management al incorporar las API y escale
para API horizontalmente los recursos de Azure API Management
según sea necesario.
(Versión preliminar) Los Los puntos de conexión de las API publicados en Azure Alto
puntos de conexión de las API Management deben aplicar la autenticación para
API de Azure API minimizar el riesgo de seguridad. A veces, los
mecanismos de autenticación se implementan
Recomendación Descripción y directiva relacionada severity
(Versión preliminar) Las Las suscripciones de API Management deben tener como Media
suscripciones de API ámbito un producto o una API individual en lugar de
Management no deben todas las API, lo que podría dar lugar a una exposición
tener como ámbito todas excesiva a los datos.
las API
(Versión preliminar) Las Las API solo deben estar disponibles mediante protocolos Alto
API de API Management cifrados, como HTTPS o WSS. Evite el uso de protocolos
solo deben usar no seguros, como HTTP o WS para garantizar la
protocolos cifrados seguridad de los datos en tránsito.
(Versión preliminar) Los Los valores con nombre son una colección de pares de Media
valores con nombre del nombre y valor en cada servicio de API Management. Los
secreto de API valores de los secretos se pueden almacenar como texto
Management deben cifrado en API Management (secretos personalizados) o
almacenarse en Azure Key mediante referencia a secretos en Azure Key Vault. Haga
Vault referencia a los valores con nombre del secreto de Azure
Key Vault para mejorar la seguridad de API Management
y de los secretos. Azure Key Vault admite directivas
Recomendación Descripción y directiva relacionada severity
(Versión preliminar) API Para mejorar la seguridad de los servicios de API Media
Management debe Management, restrinja la conectividad a los puntos de
deshabilitar el acceso de conexión de configuración del servicio, como la API de
red pública a los puntos administración directa de acceso, el punto de conexión
de conexión de de administración de configuración de Git o el punto de
configuración del servicio conexión de configuración de puertas de enlace
autohospedadas.
(Versión preliminar) La Para evitar que los secretos de servicio se compartan con Media
versión mínima de usuarios de solo lectura, la versión mínima de la API debe
API Management debería establecerse en 01-12-2019 o superior.
establecerse en 01-12-
2019 o superior
(Versión preliminar) Las Las llamadas de API Management a back-ends deberían Media
llamadas de usar algún tipo de autenticación, ya sea mediante
API Management a los certificados o credenciales. No se aplica a back-ends de
back-end de API deberían Service Fabric.
autenticarse
Recomendaciones de IA
Recomendación Descripción y directiva relacionada severity
Los registros de recursos del Los registros de recursos habilitan que se vuelvan a Media
área de trabajo de crear seguimientos de actividad con fines de
Azure Machine Learning deben investigación en caso de que se produzcan
estar habilitados (versión incidentes de seguridad o riesgos para la red.
preliminar)
Las áreas de trabajo de Azure Al deshabilitar el acceso a la red pública, se mejora Media
Machine Learning deben la seguridad, ya que se garantiza que el área de
deshabilitar el acceso a la red trabajo de Machine Learning no se exponga en la
pública (versión preliminar) red pública de Internet. Se puede controlar la
exposición de las áreas de trabajo mediante la
creación de puntos de conexión privados. Para
obtener más información, consulte Configurar un
punto de conexión privado para un área de trabajo
de Azure Machine Learning.
Los registros de recursos en las Los registros de recursos habilitan que se vuelvan a Media
áreas de trabajo de Azure crear seguimientos de actividad con fines de
Databricks deben estar investigación en caso de que se produzcan
habilitados (versión preliminar) incidentes de seguridad o riesgos para la red.
Las áreas de trabajo de Azure Azure Virtual Network brinda seguridad y Media
Databricks deben estar en una aislamiento mejorados para las áreas de trabajo de
red virtual (versión preliminar) Azure Databricks, así como subredes, directivas de
control de acceso y otras características para
restringir aún más el acceso. Para más información,
Recomendación Descripción y directiva relacionada severity
Las áreas de trabajo de Azure Azure Private Link permite conectar las redes Media
Databricks deben usar un virtuales a los servicios de Azure sin una IP pública
vínculo privado (versión en el origen o el destino. La plataforma Private Link
preliminar) administra la conectividad entre el consumidor y
los servicios a través de la red troncal de Azure. Al
asignar puntos de conexión privados a las áreas de
trabajo de Azure Databricks, puede reducir el
riesgo de pérdida de datos. Para más información,
consulte Creación del área de trabajo y de puntos
de conexión privados en la interfaz de usuario de
Azure Portal.
Recomendaciones en desuso
Recomendación Descripción y directiva relacionada severity
Se debe restringir el acceso a App Cambie la configuración de red para restringir el Alto
Services acceso a App Services y denegar el tráfico
entrante desde intervalos demasiado amplios.
(Directiva relacionada [versión preliminar]: Se
debe restringir el acceso a App Services).
Las directivas de seguridad de pod Defina las directivas de seguridad de pod para Media
deben definirse para reducir el reducir el vector de ataque mediante la
vector de ataque mediante la eliminación de privilegios de aplicación
eliminación de privilegios de innecesarios. Se recomienda configurar las
aplicación innecesarios (versión directivas de seguridad de pod para que los pods
preliminar) solo puedan obtener acceso a los recursos a los
que se les permita el acceso.
(Directiva relacionada [versión preliminar]: Las
directivas de seguridad de pod deben definirse
en los servicios de Kubernetes).
Instalación de Azure Security Instale Azure Security Center para el módulo de Bajo
Center para el módulo de seguridad de IoT con el fin de obtener una mayor
seguridad de IoT para obtener visibilidad en los dispositivos de IoT.
más visibilidad en los dispositivos
Recomendación Descripción y directiva relacionada severity
de IoT
Las máquinas deben reiniciarse Reinicie sus máquinas para aplicar las Media
para aplicar las actualizaciones del actualizaciones del sistema y protegerlas ante
sistema vulnerabilidades. (Directiva relacionada: Se deben
instalar actualizaciones del sistema en las
máquinas).
Java debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente de las aplicaciones funcionalidades, se publican de forma periódica
web. versiones más recientes del software de Java.
Para las aplicaciones web, se recomienda usar la
versión más reciente de Java con el fin de
aprovechar las correcciones de seguridad, de
haberlas, o las nuevas funcionalidades de la
versión más reciente.
(Directiva relacionada: asegúrese de que la
"versión de Java" es la más reciente, si se usa
como parte de la aplicación web)
Java debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente para las aplicaciones funcionalidades, se publican de forma periódica
de función. versiones más recientes del software de Java.
Para las aplicaciones de funciones, se recomienda
usar la versión más reciente de Java con el fin de
aprovechar las correcciones de seguridad, de
haberlas, o las nuevas funcionalidades de la
versión más reciente.
(Directiva relacionada: asegúrese de que la
"versión de Java" es la más reciente, si se usa
como parte de la aplicación de funciones)
PHP debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente de las aplicaciones funcionalidades, se publican de forma periódica
web. versiones más recientes del software de PHP.
Para las aplicaciones web, se recomienda usar la
versión más reciente de PHP con el fin de
aprovechar las correcciones de seguridad, de
haberlas, o las nuevas funcionalidades de la
versión más reciente.
(Directiva relacionada: asegúrese de que la
"versión de PHP" es la más reciente, si se usa
como parte de la aplicación web)
Pasos siguientes
Para obtener más información sobre las recomendaciones, consulte:
Coste
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada del
impuesto sobre el timbre de App Service para ahorrar en los costos a petición.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Azure Data Explorer para ahorrar costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Azure Synapse Analytics (anteriormente SQL DW) para ahorrar en los costos de
pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Blob Storage para ahorrar en los costos de Blob v2 y Data Lake Storage Gen2.
(Versión preliminar) Considere la posibilidad de usar una instancia reservada de
Blob Storage para ahorrar en los costos de Blob v2 y Data Lake Storage Gen2.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Cache for Redis para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Azure Cosmos DB para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Database for MariaDB para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Database for MySQL para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Database for PostgreSQL para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
SQL Database para ahorrar en los costos de pago por uso.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
PaaS de SQL Database para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada del impuesto sobre el
timbre de App Service para ahorrar en los costos a petición.
Considere la posibilidad de usar una instancia reservada de Azure Synapse
Analytics (anteriormente SQL DW) para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Cache for Redis para
ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Azure Cosmos DB para
ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Database for MariaDB
para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Database for MySQL
para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Database for
PostgreSQL para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de PaaS de SQL Database
para ahorrar en los costos de pago por uso.
Operativos
Agregue Azure Monitor a la máquina virtual etiquetada como producción.
Elimine y vuelva a crear el grupo con un tamaño de máquina virtual que se retirará
pronto.
Habilite el Análisis de tráfico para ver información sobre los patrones de tráfico en
los recursos de Azure.
Aplique "Agregar o reemplazar una etiqueta en los recursos" con Azure Policy.
Aplicación de "Ubicaciones permitidas" con Azure Policy
Aplicación de "SKU de máquina virtual permitidas" mediante Azure Policy.
Aplique "Auditar las máquinas virtuales que no utilizan discos administrados" con
Azure Policy.
Aplique "Heredar una etiqueta del grupo de recursos" con Azure Policy.
Actualice la versión de la API de Azure Spring Cloud.
Actualice el SDK de Azure Spring Cloud obsoleto a la versión más reciente.
Actualice a la versión más reciente del SDK de Immersive Reader.
Rendimiento
Las redes aceleradas pueden requerir la detención y el inicio de la máquina virtual.
En enrutador Arista Networks vEOS puede experimentar un uso intensivo de la
CPU, un rendimiento reducido y una latencia alta.
El firewall de última generación de Barracuda Networks puede experimentar un
uso intensivo de la CPU, un rendimiento reducido y una latencia alta.
Cisco Cloud Services Router 1000V puede experimentar un uso intensivo de la
CPU, un rendimiento reducido y una latencia alta.
Considere la posibilidad de aumentar el tamaño de la NVA para abordar el uso
elevado y persistente de CPU.
Distribuya los datos en el grupo de servidores para distribuir la carga de trabajo
entre los nodos.
Más del 75 % de las consultas son consultas de análisis completo.
El sistema operativo ONTAP de los volúmenes en NetApp Cloud puede
experimentar un uso intensivo de la CPU, un rendimiento reducido y una latencia
alta.
El firewall de la serie de máquinas virtuales de Palo Alto Networks puede
experimentar un uso intensivo de la CPU, un rendimiento reducido y una latencia
alta.
Las lecturas se producen en los datos más recientes.
Reequilibre los datos en el grupo de servidores de Hiperescala (Citus) para
distribuir la carga de trabajo entre los nodos de trabajo de forma más uniforme.
Actualice la versión de la API de atestación.
Actualice la versión del SDK de Key Vault.
Actualice a la versión más reciente del producto de Arista VEOS para ofrecer
compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto Barracuda NG Firewall para
obtener compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto Check Point para ofrecer
compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto del enrutador de Cisco Cloud
Services 1000V para obtener compatibilidad con redes aceleradas.
Actualice a la versión más reciente del producto de F5 BigIp para ofrecer
compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto de NetApp para ofrecer
compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto de Palo Alto Firewall para ofrecer
compatibilidad con las redes aceleradas.
Actualice el ancho de banda del circuito de ExpressRoute para satisfacer sus
necesidades de ancho de banda.
Use discos SSD para las cargas de trabajo de producción.
El uso de la capacidad de vSAN ha superado un umbral crítico.
Confiabilidad
Evite el reemplazo del nombre de host para garantizar la integridad del sitio.
La máquina virtual de Check Point puede perder la conectividad de red.
Anule y vuelva a crear los clústeres de HDInsight para aplicar actualizaciones
críticas.
Actualice el SDK de cliente de dispositivo a una versión compatible con Iot Hub.
Actualice a la versión más reciente del agente de Azure Connected Machine.
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
Esta página es una colección de consultas de ejemplo de Azure Resource Graph para
Azure Advisor. Para obtener una lista completa de ejemplos de Azure Resource Graph,
vea Ejemplos de Resource Graph por categoría y Ejemplos de Resource Graph por tabla.
Consultas de ejemplo
Kusto
AdvisorResources
| where type == 'microsoft.advisor/recommendations'
| where properties.category == 'Cost'
| extend
resources = tostring(properties.resourceMetadata.resourceId),
savings = todouble(properties.extendedProperties.savingsAmount),
solution = tostring(properties.shortDescription.solution),
currency = tostring(properties.extendedProperties.savingsCurrency)
| summarize
dcount(resources),
bin(sum(savings), 0.01)
by solution, currency
| project solution, dcount_resources, sum_savings, currency
| order by sum_savings desc
CLI de Azure
Azure CLI
Pasos siguientes
Obtenga más información sobre el lenguaje de consulta.
Obtenga más información sobre cómo explorar recursos.
Vea ejemplos de Consultas de lenguaje de inicio.
Vea ejemplos de Consultas de lenguaje avanzadas.
Reducción de los costos de servicio con
Azure Advisor
Artículo • 09/12/2023
Recomendaciones de apagado
Advisor identifica los recursos que no se usaron en todos los últimos siete días y hace
una recomendación para apagarlos.
Se analizan los últimos 7 días de datos de uso. Ten en cuenta que puedes cambiar
el período de búsqueda en las configuraciones. Los períodos de retrospectiva
disponibles son de 7, 14, 21, 30, 60 y 90 días. Después de cambiar el período de
búsqueda, tenga en cuenta que las recomendaciones pueden tardar hasta 48
horas en actualizarse.
Según la mejor opción disponible y los costos más baratos sin impacto en el
rendimiento, Advisor no solo recomienda SKU más pequeñas de la misma familia
(por ejemplo, D3v2 a D2v2), sino también SKU en una versión más reciente (por
ejemplo, D3v2 a D2v3) o una familia diferente (por ejemplo, D3v2 a E3v2).
Recomendaciones ampliables
Evaluamos si las cargas de trabajo son aptas para ejecutarse en SKU especializadas
denominadas SKU ampliables que admiten requisitos de rendimiento de cargas de
trabajo variables y son menos costosas que las SKU de uso general. Obtenga más
información sobre las SKU ampliables aquí: Tamaños de las máquinas virtuales
ampliables serie B: Azure Virtual Machines.
Advisor muestra el ahorro de costos estimado para cada acción recomendada: apagado
o cambio de tamaño. Para cambiar el tamaño, Advisor proporciona información de la
SKU y del recuento de instancias actual y de destino. Para ser más selectivo sobre la
acción en máquinas virtuales infrautilizadas o conjuntos de escalado de máquinas
virtuales, puede ajustar la regla de uso de CPU por suscripción.
Limitaciones
El ahorro asociado a las recomendaciones se basa en las tarifas minoristas y no
tiene en cuenta los descuentos temporales o a largo plazo que puedan aplicarse a
su cuenta. Como resultado, los ahorros enumerados pueden ser superiores a los
posibles.
Configuración de recomendaciones de
VM/VMSS
Puede ajustar las recomendaciones de Máquinas virtuales (VM) y Virtual Machine Scale
Sets. En concreto, puede configurar un filtro para cada suscripción para mostrar solo
recomendaciones para las máquinas con cierto uso de CPU. Esta configuración filtrará
las recomendaciones, pero no cambiará cómo se generan.
7 Nota
Para ajustar las reglas de ajuste de tamaño correctos de Vm/Virtual Machine Scale Sets
de Advisor, siga estos pasos:
1. En cualquier página de Azure Advisor, haga clic en Configuración en el panel de
navegación izquierdo. La página Configuración de Advisor se abre con la pestaña
Recursos seleccionada, de forma predeterminada.
3. Seleccione las suscripciones que desea configurar un filtro para el uso medio de
CPU y, a continuación, haga clic en Editar.
4. Seleccione el valor de uso promedio de CPU y luego, haga clic en Aplicar. La nueva
configuración puede tardar hasta 24 horas en reflejarse en las recomendaciones.
Pasos siguientes
Para aprender más sobre las recomendaciones de Advisor, consulte:
Información general
El libro Optimización de costos de Azure sirve como un centro centralizado para algunas
de las herramientas más usadas que pueden ayudarle a impulsar los objetivos de uso y
eficiencia. Ofrece una serie de recomendaciones, incluidas las recomendaciones de
costos de Azure Advisor, la identificación de los recursos inactivos y la administración de
Virtual Machines desasignados incorrectamente. Además, proporciona información
sobre el uso de las opciones de ventaja híbrida de Azure para bases de datos Windows,
Linux y SQL. La plantilla de libro está disponible en la galería de Azure Advisor.
El libro se organiza en diferentes pestañas, cada una de las cuales se centra en un área
específica para ayudarle a reducir el costo de su entorno de Azure.
Compute
Ventaja híbrida de Azure
Storage
Redes
Filtros: Use los filtros de suscripción, grupo de recursos y etiquetas para centrarse
en una carga de trabajo específica.
Exportar: Exporte las recomendaciones para compartir la información y colaborar
con su equipo de manera más efectiva.
Corrección rápida: Aplique la optimización recomendada directamente desde la
página del libro, lo que agiliza el proceso de optimización.
7 Nota
Compute
Recomendaciones de Advisor
Esta consulta se centra en revisar las recomendaciones de Advisor relacionadas con el
proceso. Algunas de las recomendaciones disponibles en esta consulta podrían ser
Optimizar el gasto en máquinas virtuales cambiando el tamaño o cerrando las instancias
infrautilizadas o Comprar instancias reservadas de máquinas virtuales para ahorrar
dinero en los costos de pago por uso.
Web Apps
Esta consulta ayuda a identificar App de Azure Services con y sin escalado automático, y
App Services donde se puede detener la aplicación real.
Ventaja híbrida de Azure representa una excelente oportunidad para ahorrar en Virtual
Machines costos del sistema operativo. Puede ver posibles ahorros con Ventaja híbrida
de Azure Calculadora. Compruebe este vínculo para obtener más información sobre la
Ventaja híbrida de Azure.
7 Nota
Storage
Recomendaciones de Advisor
Revise las recomendaciones de Advisor para Storage. En esta sección se proporcionan
conclusiones sobre varias recomendaciones, como "Capacidad reservada de Blob
Storage" o "Uso de la administración del ciclo de vida". Estas recomendaciones pueden
ayudar a optimizar los costos de almacenamiento y mejorar la eficiencia. No conectado
Managed Disks Esta consulta se centra en la lista de discos no conectados
administrados. Omite automáticamente los discos usados por Azure Site Recovery. Use
esta información para identificar y quitar los discos no conectados que ya no sean
necesarios.
7 Nota
Esta consulta tiene una columna Corrección rápida que le ayuda a quitar el disco si
no es necesario.
Redes
Recomendaciones de Advisor
Revise las recomendaciones de Advisor para redes. En esta sección se proporcionan
conclusiones sobre varias recomendaciones, como "Reducir los costos mediante la
eliminación o reconfiguración de puertas de enlace de red virtual inactivas" o "Reducir
los costos mediante la eliminación de circuitos ExpressRoute sin aprovisionar".
Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a ellas con más
visibilidad y control sobre la seguridad de sus recursos de Azure. Analiza
periódicamente el estado de seguridad de los recursos de Azure. Cuando Defender for
Cloud Apps identifica vulnerabilidades de seguridad potenciales, crea recomendaciones.
Las recomendaciones lo guían en el proceso de configuración de los controles
necesarios.
Para más información sobre cómo las recomendaciones de seguridad, consulte Revisión
de las recomendaciones de seguridad en Microsoft Defender for Cloud.
Pasos siguientes
Para aprender más sobre las recomendaciones de Advisor, consulte:
Introducción a Advisor
Introducción a Advisor
Recomendaciones sobre costo de Advisor
Recomendaciones sobre rendimiento de Advisor
Recomendaciones de confiabilidad de Advisor
Recomendaciones de excelencia operativa de Advisor
API REST de Advisor
Mejora de la confiabilidad de las
aplicaciones críticas para la empresa
mediante Azure Advisor
Artículo • 25/05/2023
Libro Confiabilidad
Puede evaluar la confiabilidad de la situación de las aplicaciones, evaluar los riesgos y
planear mejoras mediante la nueva plantilla de libro Confiabilidad, que está disponible
en Azure Advisor.
Puede encontrar las consideraciones de fiabilidad para cada servicio de Azure en la lista
de comprobación de resistencia de los servicios de Azure.
7 Nota
El libro se usará solo como guía y no representa una garantía del nivel de servicio.
Subscription
Grupo de recursos
Entorno
Etiquetas
El libro usa etiquetas con los nombres Environment, environment, Env, env y palabras
clave habituales (prod, dev, qa, uat, sit, test) como parte del nombre de los recursos para
mostrar el entorno de uno específico. Si no se detectan etiquetas o convenciones de
nomenclatura, el filtro de entorno se muestra como "sin definir". El valor "sin definir"
solo se muestra en el libro y no se usa en ningún otro lugar.
Use los controles de Acuerdo de Nivel de Servicio y Ayuda para mostrar información
adicional:
El libro ofrece procedimientos recomendados para los servicios de Azure, entre los que
se incluyen:
Para compartir los resultados con el equipo, puede exportar datos sobre cada uno de
los servicios o compartir el vínculo del libro. Para personalizar el libro, guarde la plantilla
en su suscripción y haga clic en el botón Editar del menú superior.
7 Nota
Para evaluar la carga de trabajo con los principios que se encuentran en el marco
de buena arquitectura de Microsoft Azure, consulte la reseña del marco de buena
arquitectura de Microsoft Azure.
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
El libro muestra una lista y una vista de mapa de las retiradas del servicio que afectan a
los recursos. Para cada uno de los servicios, hay una fecha de retirada planeada, el
número de recursos afectados y las instrucciones de migración, incluido el servicio
alternativo recomendado.
7 Nota
A menos que sea por diseño, se recomienda mantener el uso de la aplicación muy por
debajo de los límites de tamaño de la máquina virtual, por lo que puede funcionar
mejor y adaptarse fácilmente a los cambios.
Advisor agrega varias métricas durante un mínimo de 7 días, identifica las máquinas
virtuales con un uso elevado coherente en esas métricas y busca mejores tamaños (SKU)
para mejorar el rendimiento. Por último, Advisor examina las señales de capacidad en
Azure para actualizar con frecuencia las SKU recomendadas, lo que garantiza que están
disponibles para la implementación en la región.
Pasos siguientes
Para aprender más sobre las recomendaciones y procedimientos recomendados de
Advisor, consulte:
Introducción a Advisor
Introducción a Advisor
Puntuación de Advisor
Recomendaciones sobre rendimiento de Advisor
Recomendaciones de costo de Advisor (lista completa)
Recomendaciones de confiabilidad de Advisor
Recomendaciones sobre seguridad de Advisor
Recomendaciones de excelencia operativa de Advisor
Marco de buena arquitectura de Microsoft Azure
Revisión de las oportunidades de
optimización por carga de trabajo,
entorno o equipo
Artículo • 01/06/2023
Sugerencia
Para más información sobre cómo usar etiquetas de recursos para organizar y
controlar los recursos de Azure, consulte la guía de Cloud Adoption Framework y
Creación de una estrategia de gobernanza en la nube en Azure.
5. Haga clic en Aplicar. Los iconos de resumen se actualizarán para reflejar el filtro.
6. Haga clic en Aplicar. La puntuación de Advisor se actualizará para incluir solo los
recursos afectados por el filtro.
7 Nota
Pasos siguientes
Para más información sobre el etiquetado, consulte:
4. Active la casilla en la parte izquierda de la fila para todos los recursos para los que
desee posponer o descartar la recomendación.
7 Nota
Necesita el permiso de un colaborador o propietario para descartar o posponer
una recomendación. Más información sobre permisos en Azure Advisor.
7 Nota
5. Haga clic en Activar al final de la fila. Una vez que haya hecho clic, la
recomendación estará activa para ese recurso y, por lo tanto, se eliminará de la
tabla. La recomendación aparecerá ahora en la pestaña Activo.
Pasos siguientes
En este artículo se explica cómo puede ver recomendaciones interesantes para usted en
Azure Advisor. Para más información sobre Advisor, consulte:
Roles y su acceso
En la siguiente tabla se definen los roles y el acceso que tienen dentro de Advisor:
ノ Expandir tabla
Propietario X X X X X
de la
suscripción
Colaborador X X X X X
de la
suscripción
Lector de la X -- -- -- --
suscripción
Propietario X -- -- X X
del grupo de
recursos
Colaborador X -- -- X X
del grupo de
recursos
Lector del X -- -- -- --
grupo de
recursos
Propietario X -- -- -- X
del recurso
Colaborador X -- -- -- X
Rol Ver Editar Editar Editar Descartar y
recomendaciones reglas configuración configuración posponer
de la del grupo de recomendaciones
suscripción recursos
del recurso
Lector del X -- -- -- --
recurso
7 Nota
Pasos siguientes
En este artículo se le ha proporcionado información general sobre cómo Advisor usa
Azure RBAC para controlar los permisos de usuario y cómo resolver problemas
comunes. Para más información sobre Advisor, consulte:
En este artículo se muestra cómo configurar una alerta para nuevas recomendaciones
desde Azure Advisor mediante Azure Portal.
Cada vez que Azure Advisor detecta una nueva recomendación para uno de los
recursos, se almacena un evento en el registro de actividad de Azure. Puede configurar
alertas para estos eventos desde Azure Advisor creando alertas específicas para la
recomendación. Puede seleccionar una suscripción y, si lo desea, un grupo de recursos
para especificar los recursos sobre los que desea recibir alertas.
Category
Nivel de impacto
Tipo de recomendación
También puede configurar la acción que tendrá lugar cuando se desencadene una alerta
si:
Para más información sobre los grupos de acciones, consulte Creación y administración
de grupos de acciones.
7 Nota
Las alertas de Advisor solo están disponibles para las recomendaciones de alta
disponibilidad, rendimiento y costo. No se admiten recomendaciones de seguridad.
Puede configurar alertas para recibir notificaciones cuando tenga una nueva
recomendación de Advisor en uno de sus recursos. Estas alertas pueden avisarle por
correo electrónico o mensaje de texto, pero también pueden usarse para integrarse con
los sistemas existentes a través de un webhook.
Uso de la carga de alerta de recomendación de Advisor
Si desea integrar las alertas de Advisor en sus propios sistemas mediante un webhook,
deberá analizar la carga de JSON que se envía desde la notificación.
Al configurar el grupo de acciones para esta alerta, seleccione si desea usar el esquema
de alerta común. Si selecciona el esquema de alerta común, la carga tendrá el siguiente
aspecto:
JSON
{
"schemaId":"azureMonitorCommonAlertSchema",
"data":{
"essentials":{
"alertId":"/subscriptions/<subid>/providers/Microsoft.AlertsManagement/alert
s/<alerted>",
"alertRule":"Webhhook-test",
"severity":"Sev4",
"signalType":"Activity Log",
"monitorCondition":"Fired",
"monitoringService":"Activity Log - Recommendation",
"alertTargetIDs":[
"/subscriptions/<subid>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>"
],
"originAlertId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"firedDateTime":"2019-07-17T23:00:57.3858656Z",
"description":"A new recommendation is available.",
"essentialsVersion":"1.0",
"alertContextVersion":"1.0"
},
"alertContext":{
"channels":"Operation",
"claims":"
{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Mi
crosoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"8554b847-2a72-48ef-9776-600aca3c3aab",
"eventSource":"Recommendation",
"eventTimestamp":"2019-07-17T22:28:54.1566942+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"Performance",
"recommendationImpact":"Medium",
"recommendationName":"Increase the MariaDB server vCores",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azur
e_Expert/RecommendationListBlade/source/ActivityLog/recommendationTypeId/a5f
888e3-8cf4-4491-b2ba-b120e14eb7ce/resourceId/%2Fsubscriptions%<subscription
id>%2FresourceGroups%2<resource group
name>%2Fproviders%2FMicrosoft.DBforMariaDB%2Fservers%2F<resource name>",
"recommendationType":"a5f888e3-8cf4-4491-b2ba-b120e14eb7ce"
},
"status":"Active",
"subStatus":"",
"submissionTimestamp":"2019-07-17T22:28:54.1566942+00:00"
}
}
}
JSON
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"
{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Mi
crosoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"3ea7320f-c002-4062-adb8-96d3bd92a5f4",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"a12b8e59-0b1d-4003-bfdc-3d8152922e59",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"Performance",
"recommendationImpact":"Medium",
"recommendationName":"Increase the MariaDB server vCores",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azur
e_Expert/RecommendationListBlade/source/ActivityLog/recommendationTypeId/a5f
888e3-8cf4-4491-b2ba-
b120e14eb7ce/resourceId/%2Fsubscriptions%2F<subscription
id>%2FresourceGroups%2F<resource group
name>%2Fproviders%2FMicrosoft.DBforMariaDB%2Fservers%2F<resource name>",
"recommendationType":"a5f888e3-8cf4-4491-b2ba-b120e14eb7ce"
},
"resourceId":"/subscriptions/<subscription
id>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>",
"resourceGroupName":"<resource group name>",
"resourceProviderName":"MICROSOFT.DBFORMARIADB",
"status":"Active",
"subStatus":"",
"subscriptionId":"<subscription id>",
"submissionTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"resourceType":"MICROSOFT.DBFORMARIADB/SERVERS"
}
},
"properties":{
}
}
}
Algunos de los otros campos importantes que puede querer usar son:
Administración de alertas
Desde Azure Advisor, puede editar, eliminar o deshabilitar y habilitar las alertas de
recomendaciones.
3. Para editar una alerta, haga clic en el nombre para abrirla y edite los campos que
desee.
4. Para eliminar, habilitar o deshabilitar una alerta, haga clic en los puntos
suspensivos al final de la fila y seleccione la acción que desea realizar.
Pasos siguientes
Consulte la introducción a las alertas del registro de actividad y aprenda cómo
puede recibir alertas.
Más información sobre los grupos de acciones.
Configuración del resumen periódico de
recomendaciones
Artículo • 01/06/2023
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
Corrección rápida es una forma más rápida y sencilla de corregir las recomendaciones
en varios recursos. Proporciona funcionalidades para realizar correcciones masivas de
recursos y ayuda a optimizar las suscripciones más rápido gracias a la corrección a
escala para los recursos. La característica solo está disponible para determinadas
recomendaciones a través de Azure Portal.
Los precios de la imagen son solo para los fines de este ejemplo
2. En la página Detalles de la recomendación, verá una lista de los recursos para los
que tiene esta recomendación. Seleccione todos los recursos que quiera corregir
para la recomendación.
Los precios de la imagen son solo para los fines de este ejemplo
3. Una vez que haya seleccionado los recursos, haga clic en el botón Corrección
rápida para ejecutar las soluciones de forma masiva.
7 Nota
7 Nota
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
Los recursos de Advisor ahora están incorporados en Azure Resource Graph . Esta es la
base de muchos escenarios de clientes a escala para las recomendaciones de Advisor.
Los siguientes son algunos de los escenarios que no eran posibles antes de hacerlo a
escala y que ahora se pueden lograr con Resource Graph:
Microsoft.Advisor/configurations
Microsoft.Advisor/recommendations
Microsoft.Advisor/suppressions
Estos tipos de recursos se muestran en una nueva tabla denominada AdvisorResources,
que también se puede consultar en Resource Graph Explorer en Azure Portal.
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
Para sacar el máximo partido a Azure, es fundamental entender en qué punto del
recorrido de optimización de cargas de trabajo se encuentra. Debe saber qué servicios o
recursos se consumen correctamente y cuáles no. Además, necesitará saber cómo
clasificar por orden de prioridad las acciones, en función de las recomendaciones, para
maximizar el resultado.
Puede realizar un seguimiento del progreso que realiza a lo largo del tiempo si visualiza
la puntuación general y la de categoría con tendencias diarias, semanales y mensuales.
También puede establecer puntos de referencia que le ayuden a alcanzar los objetivos.
Cada una de las cinco categorías tiene una puntuación potencial máxima de 100. La
puntuación general de Advisor se calcula como la suma de cada puntuación de
categoría aplicable, dividida por la suma de la puntuación potencial máxima de todas las
categorías aplicables. En la mayoría de las suscripciones, eso significa que Advisor suma
la puntuación de cada categoría y la divide por 500. Pero cada puntuación de categoría
se calcula solo si se usan los recursos que evalúa Advisor.
Metodología de puntuación
El cálculo de la puntuación de Advisor se puede resumir en cuatro pasos:
1. Advisor calcula el costo comercial de los recursos afectados. Estos recursos son los
de las suscripciones que tienen al menos una recomendación en Advisor.
2. Advisor calcula el costo comercial de los recursos evaluados. Estos recursos son los
supervisados por Advisor, tanto si tienen alguna recomendación como si no.
Advisor aplica este modelo en un nivel de categoría para proporcionar una puntuación
para cada categoría. Seguridad usa un modelo de puntuación de seguridad. Una media
simple genera la puntuación final de Advisor.
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:
Introducción a Advisor
Introducción a Advisor
Recomendaciones sobre costo de Advisor
Recomendaciones sobre rendimiento de Advisor
Recomendaciones sobre seguridad de Advisor
Recomendaciones de excelencia operativa de Advisor
Línea de base de seguridad de Azure
para Azure Advisor
Artículo • 20/09/2023
7 Nota
Se han excluido las características no aplicables a Azure Advisor. Para ver cómo
Azure Advisor se asigna por completo a la prueba comparativa de seguridad en la
nube de Microsoft, consulte el archivo completo de asignación de línea de base
de seguridad de Azure Advisor .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Advisor, lo
que puede dar lugar a mayores consideraciones de seguridad.
Características
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de
Microsoft: Administración de recursos.
Características
Características
Pasos siguientes
Consulte la introducción al banco de pruebas de seguridad en la nube de
Microsoft.
Obtenga más información sobre las líneas de base de seguridad de Azure.
Recomendaciones de rendimiento de
Database Advisor para Azure
SQL Database
Artículo • 09/06/2023
Azure SQL Database comprende su aplicación y se adapta a ella. Azure SQL Database
tiene varias instancias de Database Advisor que proporcionan recomendaciones
personalizadas que permiten maximizar el rendimiento. Estos asesores de bases de
datos evalúan y analizan continuamente el historial de uso, y proporcionan
recomendaciones basadas en patrones de carga de trabajo que ayudan a mejorar el
rendimiento.
ノ Expandir tabla
Para generar confianza, Azure SQL Database calcula la ganancia de rendimiento que el
índice aportaría a lo largo del tiempo. Según la ganancia de rendimiento estimada, las
recomendaciones se clasifican como alta, media o baja.
Cualquier recomendación Crear índice tiene una directiva de rechazo que no permite
aplicar la recomendación si la utilización de recursos de una base de datos o de un
grupo es elevada. La directiva de rechazo tiene en cuenta la CPU, la E/S de datos, la E/S
de registros y el almacenamiento disponible.
Recomendaciones Parametrización de
consultas (versión preliminar)
Las recomendaciones de parametrización de consultas aparecen cuando tiene una o
varias consultas que se vuelven a compilar continuamente, pero que terminan con el
mismo plan de ejecución de consultas. Esta condición crea una oportunidad de aplicar la
parametrización forzada. A su vez, la parametrización forzada permite que se almacenen
en caché planes de consulta y se vuelvan a usar en el futuro, lo que mejora el
rendimiento y reduce el uso de recursos.
Las consultas con valores sin parámetros pueden llevar a una sobrecarga en el
rendimiento porque el plan de ejecución se vuelve a compilar cada vez que los valores
sin parámetros son diferentes. En muchos casos, las mismas consultas con distintos
valores de parámetro generan los mismos planes de ejecución. Estos planes, sin
embargo, se agregan aún por separado a la caché de planes.
) Importante
ノ Expandir tabla
201 El procedimiento o la función ' ' espera parámetros ' ', que no se han
proporcionado.
Aplicaciones personalizadas
Los desarrolladores pueden considerar la posibilidad de desarrollar aplicaciones
personalizadas con las recomendaciones de rendimiento de Azure SQL Database. Todas
las recomendaciones que se muestran en el portal para una base de datos están
disponibles a través de la API Get-AzSqlDatabaseRecommendedAction.
Pasos siguientes
Para más información sobre cómo realizar un ajuste automático de los índices de
base de datos y consultar los planes de ejecución, consulte Ajuste automático de
Azure SQL Database.
Para más información sobre cómo supervisar de forma automática el rendimiento
de la base de datos con diagnósticos automatizados y análisis de causa principal
de problemas de rendimiento, consulte Azure SQL Intelligent Insights.
Consulte Query Performance Insight para más información sobre el impacto en el
rendimiento de las principales consultas.
Procedimientos recomendados para
Azure App Service
Artículo • 01/06/2023
En este artículo se resumen los procedimientos recomendados para usar el Azure App
Service.
Colocación
Cuando los recursos de Azure que componen una solución como una aplicación web y
una base de datos se encuentran en regiones distintas puede ocurrir lo siguiente:
Para los recursos de Azure que componen una solución, como una aplicación web y una
cuenta de almacenamiento o base de datos usada para mantener el contenido o los
datos, se recomienda que la ubicación compartida se encuentre en la misma región. Al
crear recursos, asegúrese de que estén de la misma región de Azure, salvo que haya
motivos comerciales o de diseño concretos para que no sea así. Para mover una
aplicación de App Service a la región de la base de datos, use la característica de
clonación de App Service que actualmente está disponible para las aplicaciones del plan
de App Service Premium.
Anclado de certificados
Las aplicaciones nunca deben tener una dependencia fuerte ni estar ancladas al
certificado TLS *.azurewebsites.net predeterminado, ya que este certificado se podría
rotar en cualquier momento debido la naturaleza de App Service como plataforma
como servicio (PaaS). El anclaje de certificados es una práctica en la que una aplicación
solo permite una lista específica de entidades de certificación (CA) aceptables, claves
públicas, huellas digitales o cualquier parte de la jerarquía de certificados. En caso de
que el servicio rote el certificado TLS con caracteres comodín predeterminado de App
Service, las aplicaciones ancladas con certificado interrumpirán la conectividad de las
aplicaciones que están codificadas de forma rígida en un conjunto específico de
atributos de certificado. La periodicidad con la que se rota el certificado TLS
*.azurewebsites.net tampoco se garantiza, ya que la frecuencia de rotación puede
cambiar en cualquier momento.
Tenga en cuenta que las aplicaciones que se basan en el anclaje de certificados tampoco
deben tener una dependencia rígida en un certificado administrado de App Service. Los
certificados administrados de App Service se pueden rotar en cualquier momento, lo
que provoca problemas similares en las aplicaciones que dependen de propiedades de
certificado estables. Se recomienda especificar un certificado TLS personalizado para las
aplicaciones que utilizan el anclaje de certificados.
Para más información sobre las opciones de escalado y escalado automático de App
Service, consulte el artículo sobre el escalado de una aplicación web en Azure App
Service.
Cuando se agotan los recursos del socket
Una razón habitual para agotar las conexiones TCP salientes es el uso de bibliotecas de
cliente que no se han implementado para reutilizar las conexiones TCP o cuando no se
usa un protocolo de nivel superior como HTTP de conexión persistente. Revise la
documentación de las bibliotecas a las que hacen referencia las aplicaciones del plan de
App Service para asegurarse de que se configuran o se tiene acceso a ellas en el código
para una reutilización eficiente de las conexiones salientes. Siga también la guía de la
documentación de la biblioteca para que la creación y liberación, o la limpieza sean
correctas para evitar las conexiones con fugas. Aunque las investigaciones de estas
bibliotecas de cliente están en curso, el impacto se pueden mitigar mediante el escalado
horizontal a varias instancias.
JavaScript
Si ejecuta App Service en Linux en una máquina con varios núcleos, otro procedimiento
recomendado es usar PM2 para iniciar varios procesos de Node.js para ejecutar la
aplicación. Para hacerlo, especifique un comando de inicio al contenedor.
Cuando aparezcan errores de copia de seguridad, revise los resultados más recientes
para saber qué tipo de error se está produciendo. En el caso de errores de acceso de
almacenamiento, revise y actualice la configuración de almacenamiento que se usa en la
configuración de copia de seguridad. En el caso de errores de acceso de la base de
datos, revise y actualice las cadenas de conexiones como parte de la configuración de la
aplicación. Después, continúe para actualizar la configuración de copia de seguridad con
el fin de incluir correctamente las bases de datos necesarias. Para más información sobre
las copias de seguridad de aplicaciones, consulte el artículo sobre cómo crear la copia
de seguridad de una aplicación web en Azure App Service.
Pasos siguientes
Para obtener más información sobre los procedimientos recomendados, visite
Diagnósticos de App Service para obtener información sobre los procedimientos
recomendados viables específicos para el recurso.
También puede usar este vínculo para abrir directamente Diagnósticos de App Service
para el recurso: https://portal.azure.com/?
websitesextension_ext=asd.featurePath%3Ddetectors%2FParentAvailabilityAndPerformanc
e#@microsoft.onmicrosoft.com/resource/subscriptions/{subscriptionId}/resourceGroups
/{resourceGroupName}/providers/Microsoft.Web/sites/{siteName}/troubleshoot .
Azure Advisor REST API
Artículo • 05/08/2023
Consulte también
Documentación de Azure Advisor
az advisor
Referencia
Comandos
ノ Expand table
Advisor
ノ Expandir tabla