¿Qué es CSPM en Azure?
En corto: CSPM (Administración de la posición de seguridad en la nube, Cloud Security Posture Management) es la práctica continua de encontrar y corregir errores de configuración en tu nube — almacenamiento público, TLS débil, bases de datos abiertas a internet, accesos demasiado amplios — y asociar cada uno a marcos de cumplimiento como CIS, ISO 27001, NIST y RGPD. En Azure, Microsoft Defender for Cloud incluye un nivel CSPM básico gratis y activado por defecto; las herramientas de pago e independientes añaden análisis de rutas de ataque, escaneo de secretos, remediación accionable y una visión de cómo cambia tu postura en el tiempo.
Qué hace de verdad el CSPM
El CSPM responde a una pregunta que el portal de Azure no responde solo: de todo lo que tengo desplegado — cada suscripción, grupo de recursos y recurso — ¿qué está mal configurado, cómo de grave es y qué arreglo primero?
Es un bucle continuo, no una auditoría puntual:
- Descubrir cada recurso de todas tus suscripciones.
- Evaluar cada uno contra una biblioteca de reglas de buena práctica y controles de cumplimiento.
- Priorizar los hallazgos por severidad y exposición, para no mirar un muro de rojo indiferenciado.
- Remediar — idealmente con el arreglo en la mano, no solo el problema.
- Monitorizar en el tiempo — la postura deriva a medida que la gente despliega y cambia cosas.
La palabra que importa es configuración. El CSPM no busca vulnerabilidades de software (eso es otra herramienta); mira cómo está montada tu nube — los ajustes, permisos y exposición que tú controlas y puedes cambiar hoy.
Qué comprueba el CSPM en Azure
La mayor parte del riesgo real se agrupa en unas pocas categorías. Un CSPM maduro de Azure las cubre todas:
| Categoría | Ejemplos de errores de configuración que detecta |
|---|---|
| Exposición de datos | Cuentas de Storage con acceso anónimo a blobs; bases de datos accesibles desde internet |
| Cifrado / transporte | HTTPS no forzado; TLS mínimo por debajo de 1.2; discos o datos sin cifrar |
| Identidad y acceso | RBAC demasiado permisivo; demasiados Owners de suscripción; sin MFA en roles privilegiados |
| Red | Puertos de gestión (RDP/SSH) abiertos a internet; reglas NSG permisivas; sin private endpoints |
| Logging y monitorización | Sin diagnostic settings; sin retención del log de actividad; sin alertas en eventos clave |
| Resiliencia | Sin backup; recursos críticos en una sola región; sin soft-delete en key vaults |
| Gobernanza | Sin tags; recursos fuera de regiones aprobadas; sin guardarraíles de directivas |
Cada hallazgo solo es útil si sabes por qué importa y cómo arreglarlo — por eso un buen CSPM adjunta a cada resultado tanto una severidad como una remediación concreta.
Marcos de cumplimiento a los que se asocia el CSPM
Los hallazgos de CSPM tienen peso ante un auditor porque cada uno mapea a un control con nombre de un marco reconocido. El conjunto habitual:
| Marco | Qué es |
|---|---|
| CIS Azure Benchmark | Base de seguridad prescriptiva y específica de Azure — el encaje más directo |
| ISO 27001 | Estándar internacional de gestión de seguridad de la información (controles del Anexo A) |
| NIST SP 800-53 | Catálogo de controles federal de EE. UU., muy usado como referencia |
| PCI DSS | Seguridad de datos de tarjetas de pago |
| SOC 2 | Criterios de servicios de confianza para proveedores de servicios |
| HIPAA | Protección de datos sanitarios en EE. UU. |
| RGPD / GDPR | Protección de datos personales de la UE (Art. 32 seguridad del tratamiento, Art. 25 por diseño/defecto) |
Un solo error de configuración suele mapear a varios a la vez — p. ej. el acceso anónimo a blobs toca CIS 3.7, ISO 27001 A.8.3, NIST AC-6 y RGPD Art. 32.1.b.
CSPM en Azure en concreto: el nivel integrado vs ir más allá
Microsoft Defender for Cloud incluye un nivel CSPM básico, gratis y activado por defecto en cada suscripción: inventario de recursos, una puntuación de seguridad (Secure Score) y recomendaciones. Es una base real y útil — y el sitio correcto para empezar.
Dónde aportan valor el Defender CSPM de pago y las herramientas independientes:
| Capacidad | Nivel básico gratis | CSPM más profundo |
|---|---|---|
| Inventario, Secure Score, recomendaciones | ✅ | ✅ |
| Análisis de rutas de ataque | — | ✅ |
| Escaneo de secretos | — | ✅ |
| Postura de seguridad del dato (DSPM) | — | ✅ |
| Remediación accionable y copiable por hallazgo | Parcial | ✅ |
| Tendencia de la postura en el tiempo / deriva | Limitada | ✅ |
| Mapeo de cumplimiento a varios marcos | Parcial | ✅ |
La conclusión honesta: el nivel gratis te dice qué; el tooling más profundo te dice qué hacer al respecto, en qué orden, y si vas a mejor o a peor con el tiempo.
CSPM vs CNAPP, DSPM, CIEM y escaneo de vulnerabilidades
Estos acrónimos se solapan y se usan con ligereza. La desambiguación corta:
| Término | Se centra en |
|---|---|
| CSPM | Postura de configuración de la nube — errores de configuración y cumplimiento |
| CNAPP | Una plataforma paraguas que combina CSPM + protección de cargas + más |
| DSPM | Postura de seguridad del dato — dónde vive el dato sensible y quién puede alcanzarlo |
| CIEM | Permisos — identidades de la nube y sus autorizaciones |
| Escaneo de vulnerabilidades | Fallos de software (CVEs) en código e imágenes, no configuración |
El CSPM es la base por la que empiezan la mayoría de equipos porque el error de configuración — no los exploits exóticos — está detrás de la mayoría de incidentes reales en la nube.
Cómo empezar con CSPM en Azure
- Confirma que el CSPM gratis de Defender for Cloud está activo (lo está, por defecto) y mira tu Secure Score.
- Elige un marco como ancla — el CIS Azure Benchmark es el encaje más directo.
- Prioriza por exposición primero: cualquier cosa accesible desde internet con autenticación débil.
- Arregla, y luego vigila la tendencia — el objetivo es una puntuación que mejora y se sostiene.
Cómo aborda el CSPM Calma Cloud
Calma Cloud funciona en solo lectura y sin agentes contra tu tenant — nada que instalar, y tu inventario, credenciales e informes se quedan en tu propio entorno. Asocia cada hallazgo a CIS / ISO 27001 / NIST / RGPD, te da el arreglo por hallazgo y sigue tu postura en el tiempo como una única puntuación serena en vez de un muro de rojo. El principio de diseño es lo contrario del alarmismo: mostrar lo que importa primero, explicarlo con claridad y hacer obvio el siguiente paso.
Preguntas frecuentes
- ¿Qué significa CSPM? Cloud Security Posture Management (Administración de la posición de seguridad en la nube).
- ¿Azure tiene CSPM integrado? Sí — Microsoft Defender for Cloud incluye un nivel CSPM básico gratis, activado por defecto (inventario, Secure Score, recomendaciones). Las de pago y de terceros añaden rutas de ataque, escaneo de secretos, DSPM y remediación más rica.
- ¿El CSPM es gratis en Azure? El nivel básico es gratis; el plan Defender CSPM más profundo y la mayoría de herramientas independientes son de pago.
- ¿A qué marcos se asocia el CSPM? Habitualmente CIS, ISO 27001, NIST, PCI DSS, SOC 2, HIPAA y RGPD.
- ¿Es lo mismo que un escáner de vulnerabilidades? No. El CSPM encuentra errores de configuración (cómo están montados los recursos); el escaneo de vulnerabilidades encuentra fallos de software (CVEs). Se complementan.
- CSPM vs CNAPP — ¿diferencia? El CNAPP es una plataforma paraguas; el CSPM es la pieza de postura de configuración dentro de ella.
- ¿Necesito instalar agentes? Para la postura de configuración, no — el CSPM lee el plano de control de la nube. Calma Cloud es de solo lectura y sin agentes.
- ¿En qué se diferencia de usar solo el Secure Score? El Secure Score es una señal; el CSPM es el bucle entero — descubrir, evaluar contra marcos, priorizar, remediar y seguir la deriva en el tiempo.
