Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Backup. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili al backup.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Annotazioni
Le funzionalità non applicabili al backup sono state escluse. Per informazioni sul mapping completo del backup al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Backup.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto del backup, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | MGMT/Governance |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti a riposo | Falso |
Sicurezza della rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con NSG o Firewall di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse.
Informazioni di riferimento: Disponibilità del collegamento privato di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Negare l'accesso alla rete pubblica all'archivio
Gestione delle identità
Per ulteriori informazioni, consulta il benchmark di sicurezza del cloud di Microsoft: Gestione delle identità.
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: L'identità gestita può essere creata per il tuo vault e funziona solo sul piano di controllo.
Per maggiori dettagli, si prega di visitare: Abilitare l'identità gestita per il vostro vault.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: questa funzionalità è supportata per tutti gli scenari, eccetto che in uno scenario on-premises dove il file delle credenziali del vault non è memorizzato in AKV.
Linee guida sulla configurazione: assicurarsi che i segreti e le credenziali siano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Riferimento: Configurare un archivio per crittografare utilizzando chiavi gestite dal cliente
Accesso con privilegi
Per ulteriori informazioni, vedere il benchmark di sicurezza del cloud Microsoft: Accesso privilegiato.
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Funzionalità
Controllo degli accessi in base al ruolo (RBAC) di Azure per il piano dei dati
Descrizione: Il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Azure RBAC è supportato per le azioni del piano di controllo.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/fuga di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: Backup di Azure supporta funzionalità avanzate come insiemi di credenziali non modificabili, eliminazione temporanea, autorizzazione multiutente che consente di proteggere i dati di backup dei clienti che sono in genere sensibili per natura.
Per ulteriori informazioni, visitare: archivio immutabile, eliminazione temporanea e autorizzazione multiutente
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il layer dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Transport Layer Security in Backup
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo mediante chiavi della piattaforma
Descrizione: la crittografia dei dati a riposo è supportata tramite le chiavi della piattaforma, e tutti i contenuti dei clienti a riposo vengono crittografati con queste chiavi gestite da Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: levels-of-encryption-in-azure-backup
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: La crittografia dei dati a riposo usando chiavi gestite dal cliente è supportata per i contenuti dei clienti archiviati dal servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Crittografia dei dati di backup tramite chiavi gestite dal cliente
DP-6: Usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruota e revoca le tue chiavi in Azure Key Vault e i tuoi servizi secondo un programma definito o in caso di ritiro o compromissione della chiave. Quando è necessario usare una chiave gestita dal cliente (CMK) nell'ambito di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le migliori pratiche per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati (DEK) separata con la tua chiave di crittografia delle chiavi (KEK) nel tuo archivio chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e a essi si faccia riferimento tramite gli ID delle chiavi dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio, ad esempio importando chiavi protette da HSM dai sistemi HSM locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione iniziale delle chiavi e il loro trasferimento.
Informazioni di riferimento: Crittografia in Backup di Azure
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione, importazione, rotazione, revoca, archiviazione e eliminazione del certificato. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e nell'applicazione.
Informazioni di riferimento: Crittografia di backup
Gestione delle risorse
Per altre informazioni, vedere il benchmark della sicurezza cloud di Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto per le Policy di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Backup dei criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio deposito di dati, ad esempio un account di archiviazione o uno spazio di lavoro di Log Analytics. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log di risorse varia in base al servizio di Azure e al tipo di risorsa.
Riferimento: Uso delle impostazioni diagnostiche per i vault dei servizi di ripristino
Backup e ripristino
Per altre informazioni, vedere il benchmark della sicurezza cloud Microsoft : Backup e ripristino.
BR-1: Garantire backup automatici regolari
Funzionalità
Azure Backup
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Monitoraggio di Microsoft Defender per il cloud
Definizioni predefinite di Azure Policy - Microsoft.RecoveryServices:
| Nome (Portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza di Azure