-
Notifications
You must be signed in to change notification settings - Fork 327
/
Copy pathavs_checklist.es.json
1151 lines (1151 loc) · 50.6 KB
/
avs_checklist.es.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
{
"categories": [
{
"name": "Identidad"
},
{
"name": "Gestión de redes"
},
{
"name": "Gobernanza"
},
{
"name": "Administración"
},
{
"name": "BCDR"
},
{
"name": "Automatización de la plataforma"
}
],
"items": [
{
"category": "Identidad",
"guid": "32e42e36-11c8-418b-8a0b-c510e43a18a9",
"id": "A01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Asegúrese de que los controladores de dominio ADDS se implementan en la suscripción de identidad en Azure nativo",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "75089c20-990d-4927-b105-885576f76fc2",
"id": "A01.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Asegúrese de que los sitios y servicios de ADDS están configurados para mantener las solicitudes de autenticación de los recursos basados en Azure (incluida Azure VMware Solution) locales en Azure",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "de3aad1e-7c28-4ec9-9666-b7570449aa80",
"id": "A01.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Asegúrese de que vCenter esté conectado a ADDS para habilitar la autenticación basada en \"cuentas de usuario designadas\"",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "cd289ced-6b17-4db8-8554-61e2aee3553a",
"id": "A01.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Asegúrese de que la conexión de vCenter a ADDS utilice un protocolo seguro (LDAPS)",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "b9d37dac-43bc-46cd-8d79-a9b24604489a",
"id": "A01.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Identidad",
"text": "La cuenta de CloudAdmin en vCenter IdP solo se utiliza como una cuenta de emergencia (break-glass)",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "53d88e89-d17b-473b-82a5-a67e7a9ed5b3",
"id": "A01.06",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Asegúrese de que NSX-Manager esté integrado con un proveedor de identidades externo (LDAPS)",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "ae0e37ce-e297-411b-b352-caaab79b198d",
"id": "A01.07",
"service": "AVS",
"severity": "Medio",
"subcategory": "Identidad",
"text": "¿Se ha creado un modelo RBAC para su uso en VMware vSphere?",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "ab81932c-9fc9-4d1b-a780-36f5e6bfbb9e",
"id": "A01.08",
"service": "AVS",
"severity": "Medio",
"subcategory": "Identidad",
"text": "Los permisos RBAC deben concederse a grupos ADDS y no a usuarios específicos",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "d503547c-c447-4e82-9128-a71f0f1cac6d",
"id": "A01.09",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Los permisos de RBAC en el recurso de Azure VMware Solution en Azure están \"bloqueados\" solo para un conjunto limitado de propietarios",
"waf": "Seguridad"
},
{
"category": "Identidad",
"guid": "fd9f0df4-68dc-4976-b9a9-e6a79f7682c5",
"id": "A01.10",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidad",
"text": "Asegúrese de que todos los roles personalizados tengan el ámbito de las autorizaciones permitidas de CloudAdmin",
"waf": "Seguridad"
},
{
"category": "Gestión de redes",
"guid": "9ef1d5e8-32e4-42e3-911c-818b0a0bc510",
"id": "B01.01",
"link": "https://github.com/Azure/AzureCAT-AVS/tree/main/networking",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitectura",
"text": "¿Se ha seleccionado el modelo de conectividad de Azure VMware Solution correcto para el caso de uso del cliente en cuestión?",
"waf": "Rendimiento"
},
{
"category": "Gestión de redes",
"guid": "eb710a37-cbc1-4055-8dd5-a936a8bb7cf5",
"id": "B02.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorización",
"text": "Asegúrese de que las conexiones de ExpressRoute o VPN desde el entorno local a Azure se supervisan mediante el \"monitor de conexiones\"",
"waf": "Operaciones"
},
{
"category": "Gestión de redes",
"guid": "976e24f2-a7f8-426c-9253-2a92a2a7ed99",
"id": "B02.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Monitorización",
"text": "Asegúrese de que se crea un monitor de conexión desde un recurso nativo de Azure a una máquina virtual de Azure VMware Solution para supervisar la conexión de ExpressRoute back-end de Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Gestión de redes",
"guid": "f41ce6a0-64f3-4805-bc65-3ab50df01265",
"id": "B02.03",
"service": "AVS",
"severity": "Medio",
"subcategory": "Monitorización",
"text": "Asegúrese de que se crea un monitor de conexión desde un recurso local a una máquina virtual de Azure VMware Solution para supervisar la conectividad de extremo a extremo",
"waf": "Operaciones"
},
{
"category": "Gestión de redes",
"guid": "563b4dc7-4a74-48b6-933a-d1a0916a6649",
"id": "B03.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Enrutamiento",
"text": "Cuando se utiliza el servidor de rutas, asegúrese de que no se propaguen más de 1000 rutas desde el servidor de rutas a la puerta de enlace de ExR al entorno local (límite de ARS).",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "6128a71f-0f1c-4ac6-b9ef-1d5e832e42e3",
"id": "C01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (identidad)",
"text": "¿Se ha implementado Privileged Identity Management para los roles que administran el recurso de Azure VMware Solution en Azure Portal (no se permiten permisos permanentes)?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "c4e2436b-b336-4d71-9f17-960eee0b9b5c",
"id": "C01.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (identidad)",
"text": "Los informes de auditoría de Privileged Identity Management deben implementarse para los roles PIM de Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "78c447a8-26b2-4863-af0f-1cac599ef1d5",
"id": "C01.03",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (identidad)",
"text": "Si se usa Privileged Identity Management, asegúrese de que se crea una cuenta válida habilitada para Entra ID con un registro SMTP válido para las notificaciones de reemplazo automático de host de Azure VMware Solution. (se requieren permisos permanentes)",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "8defc4d7-21d3-41d2-90fb-707ae9eab40e",
"id": "C01.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (identidad)",
"text": "Limite el uso de la cuenta de CloudAdmin solo al acceso de emergencia",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "d329f798-bc17-48bd-a5a0-6ca7144351d1",
"id": "C01.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (identidad)",
"text": "Cree funciones RBAC personalizadas en vCenter para implementar un modelo de privilegios mínimos dentro de vCenter",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "9dd24429-eb72-4281-97a1-51c5bb4e4f18",
"id": "C01.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (identidad)",
"text": "Es un proceso definido para rotar periódicamente las credenciales de administrador de la nube (vCenter) y administrador (NSX)",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "586cb291-ec16-4a1d-876e-f9f141acdce5",
"id": "C01.07",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (identidad)",
"text": "Uso de un proveedor de identidades centralizado que se usará para las cargas de trabajo (VM) que se ejecutan en Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "79377bcd-b375-41ab-8ab0-ead66e15d3d4",
"id": "C02.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (red)",
"text": "¿Se implementa el filtrado de tráfico este-oeste en NSX-T?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "a2adb1c3-d232-46af-825c-a44e1695fddd",
"id": "C02.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (red)",
"text": "Las cargas de trabajo de Azure VMware Solution no se exponen directamente a Internet. El tráfico se filtra e inspecciona mediante Azure Application Gateway, Azure Firewall o soluciones de terceros",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "eace4cb1-deb4-4c65-8c3f-c14eeab36938",
"id": "C02.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Seguridad (red)",
"text": "La auditoría y el registro se implementan para las solicitudes entrantes de Internet a Azure VMware Solution y a las cargas de trabajo basadas en Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "29e3eec2-1836-487a-8077-a2b5945bda43",
"id": "C02.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (red)",
"text": "La supervisión de sesiones se implementa para las conexiones salientes a Internet desde Azure VMware Solution o cargas de trabajo basadas en Azure VMware Solution para identificar actividades sospechosas o malintencionadas",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "334fdf91-c234-4182-a652-75269440b4be",
"id": "C02.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (red)",
"text": "¿Está habilitada la protección estándar de DDoS en la subred de puerta de enlace de ExR/VPN en Azure?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "3d3e0843-276d-44bd-a015-bcf219e4a1eb",
"id": "C02.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (red)",
"text": "Use una estación de trabajo de acceso con privilegios (PAW) dedicada para administrar Azure VMware Solution, vCenter, NSX Manager y HCX Manager",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "9ccbd869-266a-4cca-874f-aa19bf39d95d",
"id": "C03.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (invitado/máquina virtual)",
"text": "Habilitación de la detección avanzada de amenazas (Microsoft Defender for Cloud, también conocida como ASC) para cargas de trabajo que se ejecutan en Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "44c7c891-9ca1-4f6d-9315-ae524ba34d45",
"id": "C03.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (invitado/máquina virtual)",
"text": "Use Azure ARC for Servers para controlar correctamente las cargas de trabajo que se ejecutan en Azure VMware Solution mediante tecnologías nativas de Azure (Azure ARC for Azure VMware Solution aún no está disponible)",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "85e12139-bd7b-4b01-8f7b-95ef6e043e2a",
"id": "C03.03",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Seguridad (invitado/máquina virtual)",
"text": "Asegúrese de que las cargas de trabajo de Azure VMware Solution usen suficiente cifrado de datos durante el tiempo de ejecución (como el cifrado de disco invitado y SQL TDE). (El cifrado de vSAN en reposo es el predeterminado)",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "a3592718-e6e2-4051-9267-6ae46691e883",
"id": "C03.04",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Seguridad (invitado/máquina virtual)",
"text": "Cuando se usa el cifrado en invitado, almacene las claves de cifrado en Azure Key Vault siempre que sea posible",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "5ac94222-3e13-4810-9230-81a941741583",
"id": "C03.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad (invitado/máquina virtual)",
"text": "Considere la posibilidad de usar la compatibilidad con actualizaciones de seguridad extendidas para las cargas de trabajo que se ejecutan en Azure VMware Solution (Azure VMware Solution es apta para ESU)",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "3ef7ad7c-6d37-4331-95c7-acbe44bbe609",
"id": "C04.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que se utiliza el método de redundancia de datos de vSAN adecuado (especificación RAID)",
"waf": "Fiabilidad"
},
{
"category": "Gobernanza",
"guid": "d88408f3-7273-44c8-96ba-280214590146",
"id": "C04.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que la directiva de error de tolerancia esté implementada para satisfacer sus necesidades de almacenamiento de vSAN",
"waf": "Fiabilidad"
},
{
"category": "Gobernanza",
"guid": "d89f2e87-7784-424d-9167-85c6fa95b96a",
"id": "C04.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que ha solicitado una cuota suficiente, asegurándose de que ha tenido en cuenta el crecimiento y el requisito de recuperación ante desastres",
"waf": "Fiabilidad"
},
{
"category": "Gobernanza",
"guid": "5d38e53f-9ccb-4d86-a266-acca274faa19",
"id": "C04.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que se comprenden las restricciones de acceso a ESXi, ya que existen límites de acceso que pueden afectar a las soluciones de terceros.",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "bf39d95d-44c7-4c89-89ca-1f6d5315ae52",
"id": "C04.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de tener una política en torno a la densidad y la eficiencia del host ESXi, teniendo en cuenta el tiempo de espera para solicitar nuevos nodos",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "4ba34d45-85e1-4213-abd7-bb012f7b95ef",
"id": "C04.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que existe un buen proceso de administración de costos para Azure VMware Solution: se puede usar Azure Cost Management",
"waf": "Costar"
},
{
"category": "Gobernanza",
"guid": "6e043e2a-a359-4271-ae6e-205172676ae4",
"id": "C04.07",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Gobernanza (plataforma)",
"text": "¿Se usan instancias reservadas de Azure para optimizar el costo de uso de Azure VMware Solution?",
"waf": "Costar"
},
{
"category": "Gobernanza",
"guid": "6691e883-5ac9-4422-83e1-3810523081a9",
"id": "C04.08",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (plataforma)",
"text": "Tenga en cuenta el uso de Azure Private-Link cuando use otros servicios nativos de Azure",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "db611712-6904-40b4-aa3d-3e0803276d4b",
"id": "C04.09",
"service": "AVS",
"severity": "Alto",
"subcategory": "Gobernanza (plataforma)",
"text": "Asegúrese de que todos los recursos necesarios residen en las mismas zonas de disponibilidad de Azure",
"waf": "Rendimiento"
},
{
"category": "Gobernanza",
"guid": "48b262d6-cc5f-4512-a253-98e6db9d37da",
"id": "C05.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (invitado/VM)",
"text": "Habilitación de cargas de trabajo de máquina virtual invitada de Microsoft Defender for Cloud for Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "41741583-3ef7-4ad7-a6d3-733165c7acbe",
"id": "C05.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (invitado/VM)",
"text": "Uso de servidores habilitados para Azure Arc para administrar las cargas de trabajo de máquinas virtuales invitadas de Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "88f03a4d-2cd4-463c-abbc-868295abc91a",
"id": "C05.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Gobernanza (invitado/VM)",
"text": "Habilitación del registro de diagnósticos y métricas en Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "4ed90dae-2cc8-44c4-9b6b-781cbafe6c46",
"id": "C05.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (invitado/VM)",
"text": "Implementación de los agentes de Log Analytics en cargas de trabajo de máquinas virtuales invitadas de Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "589d457a-927c-4397-9d11-02cad6aae11e",
"id": "C05.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gobernanza (invitado/VM)",
"text": "Asegúrese de que dispone de una directiva y una solución de copia de seguridad documentadas e implementadas para las cargas de trabajo de máquina virtual de Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Gobernanza",
"guid": "ee29711b-d352-4caa-ab79-b198dab81932",
"id": "C06.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Conformidad",
"text": "Uso de Microsoft Defender for Cloud para la supervisión del cumplimiento de las cargas de trabajo que se ejecutan en Azure VMware Solution",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "c9fc9d1b-b780-436f-9e6b-fbb9ed503547",
"id": "C06.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Conformidad",
"text": "¿Se agregan las líneas base de cumplimiento aplicables a Microsoft Defender for Cloud?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "cc447e82-6128-4a71-b0f1-cac6d9ef1d5e",
"id": "C06.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Conformidad",
"text": "¿Se evaluó la residencia de datos al seleccionar las regiones de Azure que se usarán para la implementación de Azure VMware Solution?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "832e42e3-611c-4818-a0a0-bc510e43a18a",
"id": "C06.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Conformidad",
"text": "¿Son claras y documentadas las implicaciones del procesamiento de datos (proveedor de servicios / modelo de consumidor de servicios)?",
"waf": "Seguridad"
},
{
"category": "Gobernanza",
"guid": "547c1747-dc56-4068-a714-435cd19dd244",
"id": "C06.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Conformidad",
"text": "Considere la posibilidad de usar CMK (clave administrada por el cliente) para vSAN solo si es necesario por motivos de cumplimiento.",
"waf": "Seguridad"
},
{
"category": "Administración",
"guid": "e43a18a9-cd28-49ce-b6b1-7db8255461e2",
"id": "D01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorización",
"text": "Creación de paneles para habilitar la información principal de supervisión de Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "6b84ee5d-f47d-42d9-8881-b1cd5d1e54a2",
"id": "D01.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorización",
"text": "Creación de alertas de advertencia para umbrales críticos para alertas automáticas sobre el rendimiento de Azure VMware Solution (CPU >80 %, memoria media >80 %, vSAN >70 %)",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "9659e396-80e7-4828-ac93-5657d02bff45",
"id": "D01.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorización",
"text": "Asegúrese de que se crea una alerta crítica para supervisar si el consumo de vSAN es inferior al 75 %, ya que se trata de un umbral de soporte de VMware",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "64b0d934-a348-4726-be79-d6b5c3a36495",
"id": "D01.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorización",
"text": "Asegúrese de que las alertas están configuradas para las alertas y notificaciones de Azure Service Health",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "b6abad38-aad5-43cc-99e1-d86667357c54",
"id": "D01.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Monitorización",
"text": "Configure el registro de Azure VMware Solution para que se envíe a una cuenta de Azure Storage o Azure EventHub para su procesamiento",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "9674c5ed-85b8-459c-9733-be2b1a27b775",
"id": "D01.06",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Monitorización",
"text": "Si se requiere una visión profunda de VMware vSphere: ¿Se utiliza vRealize Operations o vRealize Network Insights en la solución?",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "a91be1f3-88f0-43a4-b2cd-463cbbbc8682",
"id": "D02.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Operaciones",
"text": "Asegúrese de que la directiva de almacenamiento de vSAN para las máquinas virtuales NO sea la directiva de almacenamiento predeterminada, ya que esta directiva aplica el aprovisionamiento grueso",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "d9ef1d5e-832d-442e-9611-c818b0afbc51",
"id": "D02.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Asegúrese de que las bibliotecas de contenido de vSphere no se coloquen en vSAN, ya que vSAN es un recurso finito",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "0e43a18a-9cd2-489b-bd6b-17db8255461e",
"id": "D02.03",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Asegúrese de que los repositorios de datos de la solución de copia de seguridad se almacenen fuera del almacenamiento de vSAN. Ya sea en Azure nativo o en un almacén de datos respaldado por un grupo de discos",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "2aee3453-aec8-4339-848b-262d6cc5f512",
"id": "D02.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Asegúrese de que las cargas de trabajo que se ejecutan en Azure VMware Solution se administran de forma híbrida mediante Azure Arc para servidores (Arc para Azure VMware Solution está en versión preliminar)",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "925398e6-da9d-437d-ac43-bc6cd1d79a9b",
"id": "D02.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Asegúrese de que las cargas de trabajo que se ejecutan en Azure VMware Solution se supervisan mediante Azure Log Analytics y Azure Monitor",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "24604489-a8f4-42d7-ae78-cb6a33bd2a09",
"id": "D02.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Inclusión de cargas de trabajo que se ejecutan en Azure VMware Solution en las herramientas de administración de actualizaciones existentes o en Azure Update Management",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "17e7a8d9-0ae0-4e27-aee2-9711bd352caa",
"id": "D02.07",
"service": "AVS",
"severity": "Medio",
"subcategory": "Operaciones",
"text": "Uso de Azure Policy para incorporar cargas de trabajo de Azure VMware Solution en las soluciones de administración, supervisión y seguridad de Azure",
"waf": "Operaciones"
},
{
"category": "Administración",
"guid": "aee3553a-fc83-4392-98b2-62d6cc5f5129",
"id": "D03.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Seguridad",
"text": "Asegúrese de que las cargas de trabajo que se ejecutan en Azure VMware Solution se incorporan a Microsoft Defender for Cloud",
"waf": "Seguridad"
},
{
"category": "BCDR",
"guid": "25398e6d-b9d3-47da-a43b-c6cd1d79a9b2",
"id": "E01.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Copia de seguridad",
"text": "Asegúrese de que las copias de seguridad no se almacenen en vSAN, ya que vSAN es un recurso finito",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "5e6bfbb9-ed50-4354-9cc4-47e826028a71",
"id": "E02.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Recuperación ante desastres",
"text": "¿Se han considerado todas las soluciones de recuperación ante desastres y se ha decidido por la mejor solución para su negocio? [SRM/JetStream/Zerto/Veeam/...]",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "f0f1cac6-d9ef-41d5-b832-d42e3611c818",
"id": "E02.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Recuperación ante desastres",
"text": "Uso de Azure Site Recovery cuando la tecnología de recuperación ante desastres sea IaaS nativa de Azure",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "b0afbc51-0e43-4a18-a9cd-289bed6b17db",
"id": "E02.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Recuperación ante desastres",
"text": "Utilice planes de recuperación automatizados con cualquiera de las soluciones ante desastres, evite las tareas manuales tanto como sea posible",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "8255461e-2aee-4345-9aec-8339248b262d",
"id": "E02.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Recuperación ante desastres",
"text": "Usar el par de regiones geopolíticas como entorno secundario de recuperación ante desastres",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "6cc5f512-9253-498e-9da9-d37dac43bc6c",
"id": "E02.05",
"service": "AVS",
"severity": "Alto",
"subcategory": "Recuperación ante desastres",
"text": "Utilice 2 espacios de direcciones diferentes entre las regiones, por ejemplo: 10.0.0.0/16 y 192.168.0.0/16 para las diferentes regiones",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "d1d79a9b-2460-4448-aa8f-42d78e78cb6a",
"id": "E02.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Recuperación ante desastres",
"text": "¿Se usará Global Reach de ExpressRoute para la conectividad entre las nubes privadas de Azure VMware Solution principal y secundaria, o el enrutamiento se realiza a través de aplicaciones virtuales de red?",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "33bd2a09-17e7-4a8d-a0ae-0e27cee29711",
"id": "E03.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Continuidad del negocio",
"text": "¿Se han considerado todas las soluciones de copia de seguridad y se ha decidido por la mejor solución para su negocio? [ MABS/CommVault/Metallic.io/Veeam/ . ]",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "bd352caa-ab79-4b18-adab-81932c9fc9d1",
"id": "E03.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Continuidad del negocio",
"text": "Implemente la solución de copia de seguridad en la misma región que la nube privada de Azure VMware Solution",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "bb77036f-5e6b-4fbb-aed5-03547cc447e8",
"id": "E03.03",
"service": "AVS",
"severity": "Medio",
"subcategory": "Continuidad del negocio",
"text": "Implementación de la solución de copia de seguridad fuera de vSan, en componentes nativos de Azure",
"waf": "Fiabilidad"
},
{
"category": "BCDR",
"guid": "26028a71-f0f1-4cac-9d9e-f1d5e832d42e",
"id": "E03.04",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Continuidad del negocio",
"text": "¿Existe un proceso para solicitar una restauración de los componentes de VMware administrados por la plataforma Azure?",
"waf": "Fiabilidad"
},
{
"category": "Automatización de la plataforma",
"guid": "4604489a-8f42-4d78-b78c-b7a33bd2a0a1",
"id": "F01.01",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Estrategia de implementación",
"text": "En el caso de las implementaciones manuales, se deben documentar todas las configuraciones e implementaciones",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "7e7a8d90-ae0e-437c-be29-711bd352caaa",
"id": "F01.02",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Estrategia de implementación",
"text": "En el caso de las implementaciones manuales, considere la posibilidad de implementar bloqueos de recursos para evitar acciones accidentales en la nube privada de Azure VMware Solution",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "b79b198d-ab81-4932-a9fc-9d1bb78036f5",
"id": "F02.01",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Implementación automatizada",
"text": "Para implementaciones automatizadas, implemente una nube privada mínima y escale según sea necesario",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "e6bfbb9e-d503-4547-ac44-7e826128a71f",
"id": "F02.02",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Implementación automatizada",
"text": "En el caso de las implementaciones automatizadas, solicite o reserve una cuota antes de iniciar la implementación",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "0f1cac6d-9ef1-4d5e-a32e-42e3611c818b",
"id": "F02.03",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Implementación automatizada",
"text": "En el caso de la implementación automatizada, asegúrese de que se crean bloqueos de recursos relevantes a través de la automatización o a través de Azure Policy para una gobernanza adecuada",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "e2cc95d4-8c6b-4791-bca0-f6c56589e558",
"id": "F03.01",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Conectividad automatizada",
"text": "Implemente nombres comprensibles para las claves de autorización ExR para permitir una fácil identificación del propósito y uso de las claves.",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "255461e2-aee3-4553-afc8-339248b262d6",
"id": "F03.02",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Conectividad automatizada",
"text": "Uso de Key Vault para almacenar secretos y claves de autorización cuando se usan principios de servicio independientes para implementar Azure VMware Solution y ExpressRoute",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "cc5f5129-2539-48e6-bb9d-37dac43bc6cd",
"id": "F03.03",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Conectividad automatizada",
"text": "Defina dependencias de recursos para serializar acciones en IaC cuando sea necesario implementar muchos recursos en Azure VMware Solution, ya que Azure VMware Solution solo admite un número limitado de operaciones paralelas.",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "1d79a9b2-4604-4489-a8f4-2d78e78cb7a3",
"id": "F03.04",
"service": "AVS",
"severity": "Bajo",
"subcategory": "Conectividad automatizada",
"text": "Al realizar la configuración automatizada de segmentos de NSX-T con una única puerta de enlace de nivel 1, use las API de Azure Portal en lugar de las API de NSX-Manager",
"waf": "Operaciones"
},
{
"category": "Automatización de la plataforma",
"guid": "3bd2a0a1-7e7a-48d9-8ae0-e37cee29711b",
"id": "F04.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Si tiene la intención de usar el escalado horizontal automatizado, asegúrese de solicitar una cuota suficiente de Azure VMware Solution para las suscripciones que ejecutan Azure VMware Solution",
"waf": "Rendimiento"
},
{
"category": "Automatización de la plataforma",
"guid": "d352caaa-b79b-4198-bab8-1932c9fc9d1b",
"id": "F04.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Cuando tenga la intención de usar la reducción horizontal automatizada, asegúrese de tener en cuenta los requisitos de la directiva de almacenamiento antes de realizar dicha acción",
"waf": "Rendimiento"
},
{
"category": "Automatización de la plataforma",
"guid": "b78036f5-e6bf-4bb9-bd50-3547cc447e82",
"id": "F04.03",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Las operaciones de escalado siempre deben serializarse dentro de un único SDDC, ya que solo se puede realizar una operación de escalado a la vez (incluso cuando se utilizan varios clústeres)",
"waf": "Rendimiento"
},
{
"category": "Automatización de la plataforma",
"guid": "bf15bce2-19e4-4a0e-a588-79424d226786",
"id": "F04.04",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Considerar y validar las operaciones de escalado en soluciones de terceros utilizadas en la arquitectura (compatibles o no)",
"waf": "Rendimiento"
},
{
"category": "Automatización de la plataforma",
"guid": "d20b56c5-7be5-4851-a0f8-3835c586cb29",
"id": "F04.05",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Defina y aplique límites máximos de escalado vertical y horizontal para su entorno en las automatizaciones",
"waf": "Rendimiento"
},
{
"category": "Automatización de la plataforma",
"guid": "1dc15a1c-075e-4e9f-841a-cccd579376bc",
"id": "F04.06",
"service": "AVS",
"severity": "Medio",
"subcategory": "Báscula automatizada",
"text": "Implemente reglas de supervisión para supervisar las operaciones de escalado automatizadas y supervisar el éxito y el fracaso para permitir respuestas adecuadas (automatizadas)",
"waf": "Operaciones"
},
{
"category": "Migración",
"guid": "c5972cd4-cd21-4b07-9036-f5e6b4bfd3d5",
"id": "G01.01",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitectura",
"text": "Al usar MON, tenga en cuenta los límites de las máquinas virtuales configuradas simultáneamente (límite de MON para HCX [400 - estándar, 1000 - dispositivo más grande])",
"training": "https://learn.microsoft.com/learn/modules/configure-azure-ad-application-proxy/",
"waf": "Fiabilidad"
},
{
"category": "Migración",
"guid": "be1f38cf-03a8-422b-b463-cbbbc8ac299e",
"id": "G01.02",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitectura",
"text": "Al usar MON, no puede habilitar MON en más de 100 extensiones de red",
"training": "https://learn.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"waf": "Fiabilidad"
},
{
"category": "Migración",
"guid": "bc91a43d-90da-4e2c-a881-4706f7c1cbaf",
"id": "G02.01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gestión de redes",
"text": "Si utiliza una conexión VPN para migraciones, ajuste el tamaño de su MTU en consecuencia.",
"waf": "Rendimiento"
},
{
"category": "Migración",
"guid": "e614658d-d457-4e92-9139-b821102cad6e",
"id": "G02.02",
"service": "AVS",
"severity": "Medio",
"subcategory": "Gestión de redes",
"text": "En el caso de las regiones de baja conectividad que se conectan a Azure (500 Mbps o menos), considere la posibilidad de implementar el dispositivo de optimización de WAN de HCX",
"waf": "Rendimiento"
},
{
"category": "Migración",
"guid": "ae01e6e8-43e5-42f4-922d-928c1b1cd521",
"id": "G03,01",
"service": "AVS",
"severity": "Medio",
"subcategory": "Proceso",
"text": "Asegúrese de que las migraciones se inicien desde el dispositivo local y NO desde el dispositivo en la nube (NO realice una migración inversa)",
"waf": "Fiabilidad"
},
{
"category": "Almacenamiento de datos",
"guid": "e54a29a9-de39-4ac0-b7c2-8dc935657202",