Calma Cloud

¿Qué es CSPM en Azure?

En corto: CSPM (Administración de la posición de seguridad en la nube, Cloud Security Posture Management) es la práctica continua de encontrar y corregir errores de configuración en tu nube — almacenamiento público, TLS débil, bases de datos abiertas a internet, accesos demasiado amplios — y asociar cada uno a marcos de cumplimiento como CIS, ISO 27001, NIST y RGPD. En Azure, Microsoft Defender for Cloud incluye un nivel CSPM básico gratis y activado por defecto; las herramientas de pago e independientes añaden análisis de rutas de ataque, escaneo de secretos, remediación accionable y una visión de cómo cambia tu postura en el tiempo.

Qué hace de verdad el CSPM

El CSPM responde a una pregunta que el portal de Azure no responde solo: de todo lo que tengo desplegado — cada suscripción, grupo de recursos y recurso — ¿qué está mal configurado, cómo de grave es y qué arreglo primero?

Es un bucle continuo, no una auditoría puntual:

  1. Descubrir cada recurso de todas tus suscripciones.
  2. Evaluar cada uno contra una biblioteca de reglas de buena práctica y controles de cumplimiento.
  3. Priorizar los hallazgos por severidad y exposición, para no mirar un muro de rojo indiferenciado.
  4. Remediar — idealmente con el arreglo en la mano, no solo el problema.
  5. Monitorizar en el tiempo — la postura deriva a medida que la gente despliega y cambia cosas.

La palabra que importa es configuración. El CSPM no busca vulnerabilidades de software (eso es otra herramienta); mira cómo está montada tu nube — los ajustes, permisos y exposición que tú controlas y puedes cambiar hoy.

Qué comprueba el CSPM en Azure

La mayor parte del riesgo real se agrupa en unas pocas categorías. Un CSPM maduro de Azure las cubre todas:

Categoría Ejemplos de errores de configuración que detecta
Exposición de datos Cuentas de Storage con acceso anónimo a blobs; bases de datos accesibles desde internet
Cifrado / transporte HTTPS no forzado; TLS mínimo por debajo de 1.2; discos o datos sin cifrar
Identidad y acceso RBAC demasiado permisivo; demasiados Owners de suscripción; sin MFA en roles privilegiados
Red Puertos de gestión (RDP/SSH) abiertos a internet; reglas NSG permisivas; sin private endpoints
Logging y monitorización Sin diagnostic settings; sin retención del log de actividad; sin alertas en eventos clave
Resiliencia Sin backup; recursos críticos en una sola región; sin soft-delete en key vaults
Gobernanza Sin tags; recursos fuera de regiones aprobadas; sin guardarraíles de directivas

Cada hallazgo solo es útil si sabes por qué importa y cómo arreglarlo — por eso un buen CSPM adjunta a cada resultado tanto una severidad como una remediación concreta.

Marcos de cumplimiento a los que se asocia el CSPM

Los hallazgos de CSPM tienen peso ante un auditor porque cada uno mapea a un control con nombre de un marco reconocido. El conjunto habitual:

Marco Qué es
CIS Azure Benchmark Base de seguridad prescriptiva y específica de Azure — el encaje más directo
ISO 27001 Estándar internacional de gestión de seguridad de la información (controles del Anexo A)
NIST SP 800-53 Catálogo de controles federal de EE. UU., muy usado como referencia
PCI DSS Seguridad de datos de tarjetas de pago
SOC 2 Criterios de servicios de confianza para proveedores de servicios
HIPAA Protección de datos sanitarios en EE. UU.
RGPD / GDPR Protección de datos personales de la UE (Art. 32 seguridad del tratamiento, Art. 25 por diseño/defecto)

Un solo error de configuración suele mapear a varios a la vez — p. ej. el acceso anónimo a blobs toca CIS 3.7, ISO 27001 A.8.3, NIST AC-6 y RGPD Art. 32.1.b.

CSPM en Azure en concreto: el nivel integrado vs ir más allá

Microsoft Defender for Cloud incluye un nivel CSPM básico, gratis y activado por defecto en cada suscripción: inventario de recursos, una puntuación de seguridad (Secure Score) y recomendaciones. Es una base real y útil — y el sitio correcto para empezar.

Dónde aportan valor el Defender CSPM de pago y las herramientas independientes:

Capacidad Nivel básico gratis CSPM más profundo
Inventario, Secure Score, recomendaciones
Análisis de rutas de ataque
Escaneo de secretos
Postura de seguridad del dato (DSPM)
Remediación accionable y copiable por hallazgo Parcial
Tendencia de la postura en el tiempo / deriva Limitada
Mapeo de cumplimiento a varios marcos Parcial

La conclusión honesta: el nivel gratis te dice qué; el tooling más profundo te dice qué hacer al respecto, en qué orden, y si vas a mejor o a peor con el tiempo.

CSPM vs CNAPP, DSPM, CIEM y escaneo de vulnerabilidades

Estos acrónimos se solapan y se usan con ligereza. La desambiguación corta:

Término Se centra en
CSPM Postura de configuración de la nube — errores de configuración y cumplimiento
CNAPP Una plataforma paraguas que combina CSPM + protección de cargas + más
DSPM Postura de seguridad del dato — dónde vive el dato sensible y quién puede alcanzarlo
CIEM Permisos — identidades de la nube y sus autorizaciones
Escaneo de vulnerabilidades Fallos de software (CVEs) en código e imágenes, no configuración

El CSPM es la base por la que empiezan la mayoría de equipos porque el error de configuración — no los exploits exóticos — está detrás de la mayoría de incidentes reales en la nube.

Cómo empezar con CSPM en Azure

  1. Confirma que el CSPM gratis de Defender for Cloud está activo (lo está, por defecto) y mira tu Secure Score.
  2. Elige un marco como ancla — el CIS Azure Benchmark es el encaje más directo.
  3. Prioriza por exposición primero: cualquier cosa accesible desde internet con autenticación débil.
  4. Arregla, y luego vigila la tendencia — el objetivo es una puntuación que mejora y se sostiene.

Cómo aborda el CSPM Calma Cloud

Calma Cloud funciona en solo lectura y sin agentes contra tu tenant — nada que instalar, y tu inventario, credenciales e informes se quedan en tu propio entorno. Asocia cada hallazgo a CIS / ISO 27001 / NIST / RGPD, te da el arreglo por hallazgo y sigue tu postura en el tiempo como una única puntuación serena en vez de un muro de rojo. El principio de diseño es lo contrario del alarmismo: mostrar lo que importa primero, explicarlo con claridad y hacer obvio el siguiente paso.

Solicitar una demo →

Preguntas frecuentes

  • ¿Qué significa CSPM? Cloud Security Posture Management (Administración de la posición de seguridad en la nube).
  • ¿Azure tiene CSPM integrado? Sí — Microsoft Defender for Cloud incluye un nivel CSPM básico gratis, activado por defecto (inventario, Secure Score, recomendaciones). Las de pago y de terceros añaden rutas de ataque, escaneo de secretos, DSPM y remediación más rica.
  • ¿El CSPM es gratis en Azure? El nivel básico es gratis; el plan Defender CSPM más profundo y la mayoría de herramientas independientes son de pago.
  • ¿A qué marcos se asocia el CSPM? Habitualmente CIS, ISO 27001, NIST, PCI DSS, SOC 2, HIPAA y RGPD.
  • ¿Es lo mismo que un escáner de vulnerabilidades? No. El CSPM encuentra errores de configuración (cómo están montados los recursos); el escaneo de vulnerabilidades encuentra fallos de software (CVEs). Se complementan.
  • CSPM vs CNAPP — ¿diferencia? El CNAPP es una plataforma paraguas; el CSPM es la pieza de postura de configuración dentro de ella.
  • ¿Necesito instalar agentes? Para la postura de configuración, no — el CSPM lee el plano de control de la nube. Calma Cloud es de solo lectura y sin agentes.
  • ¿En qué se diferencia de usar solo el Secure Score? El Secure Score es una señal; el CSPM es el bucle entero — descubrir, evaluar contra marcos, priorizar, remediar y seguir la deriva en el tiempo.