Azure Stack HCI e ISO/IEC 27001:2022

Questo articolo illustra in che modo Azure Stack HCI aiuta le organizzazioni a soddisfare i requisiti di controllo della sicurezza di ISO/IEC 27001:2022, sia nel cloud che in locale. Altre informazioni su Azure Stack e altri standard di sicurezza sono disponibili in Azure Stack e negli standard di sicurezza.

ISO/IEC 27001:2022

ISO/IEC 27001 è uno standard di sicurezza globale che specifica i requisiti per stabilire, implementare, operare, monitorare, gestire e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS). La certificazione per ISO/IEC 27001:2022 consente alle organizzazioni di migliorare il comportamento di sicurezza, di creare fiducia con i propri clienti e di soddisfare diversi obblighi legali e normativi che coinvolgono la sicurezza delle informazioni, ad esempio PCI DSS, HIPAA, HITRUST e FedRAMP. Per altre informazioni sullo standard, vedere ISO/IEC 27001.

Azure Stack HCI

Azure Stack HCI è una soluzione ibrida che offre una perfetta integrazione tra l'infrastruttura locale delle organizzazioni e i servizi cloud di Azure, contribuendo a consolidare carichi di lavoro e contenitori virtualizzati e ottenere efficienza nel cloud quando i dati devono rimanere in locale per motivi legali o di privacy. Le organizzazioni che cercano la certificazione ISO/IEC 27001:2022 per le proprie soluzioni devono considerare sia il cloud che gli ambienti locali.

servizi cloud Connessione ed

Azure Stack HCI offre un'integrazione approfondita con diversi servizi di Azure, ad esempio Monitoraggio di Azure, Backup di Azure e Azure Site Recovery, per offrire nuove funzionalità all'ambiente ibrido. Questi servizi cloud vengono sottoposti a controlli di terze parti indipendenti regolari per la conformità ISO/IEC 27001:2022. È possibile esaminare il certificato e il report di controllo ISO/IEC 27001:2022 in Offerte di conformità di Azure - ISO/IEC 27001:2022.

Importante

Lo stato di conformità di Azure non conferisce l'accreditamento ISO/IEC 27001 per i servizi che un'organizzazione compila o ospita nella piattaforma Azure. Le organizzazioni sono responsabili della conformità delle operazioni ai requisiti ISO/IEC 27001:2022.

Soluzioni locali

In locale, Azure Stack HCI offre una serie di funzionalità che consentono alle organizzazioni di soddisfare i requisiti di sicurezza di ISO/IEC 27001:2022. Le sezioni seguenti forniscono altre informazioni.

Funzionalità di Azure Stack HCI rilevanti per ISO/IEC 27001:2022

Questa sezione illustra come le organizzazioni possono usare la funzionalità Azure Stack HCI per soddisfare i controlli di sicurezza nell'allegato A di ISO/IEC 27001:2022. Le informazioni seguenti riguardano solo i requisiti tecnici. I requisiti correlati alle operazioni di sicurezza non rientrano nell'ambito, perché Azure Stack HCI non può influire su di essi. Le linee guida sono organizzate in base ai nove domini dell'Allegato A:

• Sicurezza di rete
• Gestione delle identità e degli accessi
• Protezione dei dati
• Registrazione
• Monitoraggio
• Configurazione sicura
• Protezione dalle minacce
• Backup e ripristino
• Scalabilità e disponibilità

Le linee guida contenute in questo articolo illustrano come usare le funzionalità della piattaforma Azure Stack HCI per soddisfare i requisiti di ogni dominio. È importante notare che non tutti i controlli sono obbligatori. Le organizzazioni devono analizzare il proprio ambiente ed eseguire la valutazione dei rischi per determinare quali controlli sono necessari. Per altre informazioni sui requisiti, vedere ISO/IEC 27001.

Sicurezza della rete

La funzionalità di sicurezza di rete descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.20 - Sicurezza di rete
• 8.21 - Sicurezza dei servizi di rete
• 8.22 - Separazione delle reti
• 8.23 - Filtro Web

Con Azure Stack HCI è possibile applicare controlli di sicurezza di rete per proteggere la piattaforma e i carichi di lavoro in esecuzione da minacce di rete all'esterno e all'interno. La piattaforma garantisce anche un'allocazione di rete equa in un host e migliora le prestazioni e la disponibilità dei carichi di lavoro con funzionalità di bilanciamento del carico. Altre informazioni sulla sicurezza di rete in Azure Stack HCI sono disponibili negli articoli seguenti.

• Panoramica del firewall del data center
• Bilanciamento del carico software (SLB) per la rete SDN (Software Define Network)
• Gateway RAS (Remote Access Service) per SDN
• Criteri di qualità del servizio per i carichi di lavoro ospitati in Azure Stack HCI

Gestione delle identità e dell'accesso

La funzionalità di gestione delle identità e degli accessi descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.2 - Diritti di accesso con privilegi
• 8.3 - Restrizioni di accesso alle informazioni
• 8.5 - Autenticazione sicura

La piattaforma Azure Stack HCI offre accesso completo e diretto al sistema sottostante in esecuzione nei nodi del cluster tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud come Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori (MFA), l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.

Altre informazioni sulla gestione delle identità e degli accessi locali sono disponibili in Microsoft Identity Manager e Privileged Access Management per i servizi di Dominio di Active Directory. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud sono disponibili in Microsoft Entra ID.

Protezione dei dati

La funzionalità di protezione dei dati descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.5 - Autenticazione sicura
• 8.20 - Sicurezza di rete
• 8.21 - Sicurezza dei servizi di rete
• 8.24 - Uso della crittografia

Crittografia dei dati con BitLocker

Nei cluster Azure Stack HCI è possibile crittografare tutti i dati inattivi tramite crittografia bitLocker XTS-AES a 256 bit. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione di Azure Stack HCI. Per tutti i nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario attivare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).

Protezione del traffico di rete esterno con TLS/DTLS

Per impostazione predefinita, tutte le comunicazioni host verso endpoint locali e remoti vengono crittografate con TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Stack HCI supporta anche pacchetti di crittografia sicuri come curve ellittiche conformi a SDL limitate alle curve NIST P-256 e P-384.

Protezione del traffico di rete interno con Server Message Block (SMB)

La firma SMB è abilitata per impostazione predefinita per le connessioni client negli host del cluster Azure Stack HCI. Per il traffico all'interno del cluster, la crittografia SMB è un'opzione che le organizzazioni possono abilitare durante o dopo la distribuzione per proteggere i dati in transito tra cluster. I pacchetti di crittografia AES-256-GCM e AES-256-CCM sono ora supportati dal protocollo SMB 3.1.1 usato dal traffico di file client-server e dall'infrastruttura di dati all'interno del cluster. Il protocollo continua a supportare anche la suite AES-128 più compatibile. Per altre informazioni, vedere Miglioramenti della sicurezza SMB.

Registrazione

La funzionalità di registrazione descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.15 - Registrazione
• 8.17 - Sincronizzazione dell'orologio

Log di sistema locali

Per impostazione predefinita, tutte le operazioni eseguite all'interno della piattaforma Azure Stack HCI vengono registrate in modo da tenere traccia di chi ha fatto cosa, quando e dove nella piattaforma. Sono inclusi anche i log e gli avvisi creati da Windows Defender per prevenire, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Tuttavia, poiché il log di sistema spesso contiene un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati a scopo di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure Stack HCI .

Log attività locali

Azure Stack HCI Lifecycle Manager crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi e monitoraggio più approfonditi.

Log attività cloud

Registrando i cluster con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per le operazioni di scrittura (inserimento, post o eliminazione) eseguite sulle risorse nella sottoscrizione.

Log delle identità cloud

Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio e gestione degli eventi di sicurezza e gestione degli eventi di sicurezza e monitoraggio per casi d'uso avanzati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per usare i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio Organizzazione.

Integrazione SIEM

Microsoft Defender per il cloud e Microsoft Sentinel sono integrati in modo nativo con i nodi Azure Stack HCI abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che fornisce la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme anche a molti standard di sicurezza ben definiti, ad esempio ISO/IEC 27001, che possono essere utili per il processo di certificazione. Azure Stack HCI offre inoltre un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema alle soluzioni SIEM di terze parti.

Monitoraggio

La funzionalità di monitoraggio descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.15 - Registrazione

Azure Stack HCI Insights

Azure Stack HCI Insights consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i cluster connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio per un singolo cluster o più cluster dalla pagina delle risorse di Azure Stack HCI o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare Azure Stack HCI con Insights.

Metriche di Azure Stack HCI

Le metriche archivia i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e tracciare i valori di più metriche nel tempo. Con Le metriche è possibile creare grafici dai valori delle metriche e correlare visivamente le tendenze.

Avvisi relativi ai log

Per indicare problemi in tempo reale, è possibile configurare avvisi per i sistemi Azure Stack HCI, usando query di log di esempio preesistenti, ad esempio CPU del server medio, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per i sistemi Azure Stack HCI.

Avvisi delle metriche

Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.

Avvisi del servizio e dei dispositivi

Azure Stack HCI fornisce avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare i cluster Azure Stack HCI e i relativi componenti sottostanti usando PowerShell o Servizio integrità.

Configurazione sicura

La funzionalità di configurazione sicura descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.8 - Gestione delle vulnerabilità tecniche
• 8.9 - Gestione della configurazione

Protezione per impostazione predefinita

Azure Stack HCI è configurato in modo sicuro per impostazione predefinita con strumenti e tecnologie di sicurezza che proteggono dalle minacce moderne e si allineano alle baseline di sicurezza di calcolo di Azure. Per altre informazioni, vedere Gestire le impostazioni predefinite per la sicurezza per Azure Stack HCI.

Protezione deriva

La configurazione di sicurezza predefinita e le impostazioni di base protette della piattaforma sono protette sia durante la distribuzione che il runtime con protezione del controllo deriva. Se abilitata, la protezione del controllo deriva aggiorna regolarmente le impostazioni di sicurezza ogni 90 minuti per assicurarsi che le modifiche apportate allo stato specificato vengano corrette. Questo monitoraggio continuo e correzione automatica consente di avere una configurazione di sicurezza coerente e affidabile per tutto il ciclo di vita del dispositivo. È possibile disabilitare la protezione dalla deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.

Baseline di sicurezza per il carico di lavoro

Per i carichi di lavoro in esecuzione in Azure Stack HCI, è possibile usare la baseline del sistema operativo consigliato di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.

Aggiornamento della piattaforma

Tutti i componenti della piattaforma Azure Stack HCI, inclusi il sistema operativo, gli agenti e i servizi principali e l'estensione della soluzione, possono essere gestiti facilmente con Lifecycle Manager. Questa funzionalità consente di aggregare componenti diversi in una versione di aggiornamento e convalida la combinazione di versioni per garantire l'interoperabilità. Per altre informazioni, vedere Lifecycle Manager per gli aggiornamenti della soluzione Azure Stack HCI.

Aggiornamento del carico di lavoro

Per i carichi di lavoro in esecuzione sulla piattaforma Azure Stack HCI, tra cui servizio Azure Kubernetes ibrido, Azure Arc e macchine virtuali dell'infrastruttura non integrate in Lifecycle Manager, seguire i metodi descritti in Usare Lifecycle Manager per gli aggiornamenti per mantenerli aggiornati.

Protezione dalle minacce

La funzionalità di protezione dalle minacce in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.7 - Protezione da malware

Windows Defender Antivirus

Windows Defender Antivirus è un'applicazione di utilità che consente di applicare l'analisi del sistema in tempo reale e l'analisi periodica per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Antivirus Microsoft Defender è abilitato in Azure Stack HCI. Microsoft consiglia di usare Antivirus Microsoft Defender con Azure Stack HCI anziché con software e servizi di rilevamento malware di terze parti, in quanto possono influire sulla capacità del sistema operativo di ricevere gli aggiornamenti. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.

Controllo di applicazioni di Windows Defender (WDAC)

Windows Defender Application Control (WDAC) è abilitato per impostazione predefinita in Azure Stack HCI per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni server, impedendo l'accesso ai sistemi da parte di malware. Altre informazioni sui criteri di base inclusi in Azure Stack HCI e su come creare criteri supplementari in Controllo delle applicazioni di Windows Defender per Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender per il cloud con Endpoint Protection (abilitato tramite il piano Defender per server) offre una soluzione di gestione della sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.

Backup e ripristino

La funzionalità di backup e ripristino descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.7 - Protezione da malware
• 8.13 - Backup delle informazioni
• 8.14 - Ridondanza delle informazioni

Cluster esteso

Azure Stack HCI offre supporto incorporato per il ripristino di emergenza di carichi di lavoro virtualizzati tramite cluster esteso. Distribuendo un cluster Azure Stack HCI esteso, è possibile replicare in modo sincrono i carichi di lavoro virtualizzati in due posizioni locali separate e eseguirne automaticamente il failover tra di essi. I failover del sito pianificati possono verificarsi senza tempi di inattività tramite la migrazione in tempo reale di Hyper-V.

Nodi del cluster Kubernetes

Se si usa Azure Stack HCI per ospitare distribuzioni basate su contenitori, la piattaforma consente di migliorare l'agilità e la resilienza intrinseche alle distribuzioni di Azure Kubernetes. Azure Stack HCI gestisce il failover automatico delle macchine virtuali che fungono da nodi del cluster Kubernetes se si verifica un errore localizzato dei componenti fisici sottostanti. Questa configurazione è a supplemento della disponibilità elevata incorporata in Kubernetes, che riavvia automaticamente i contenitori in errore nella stessa macchina virtuale o in un'altra.

Azure Site Recovery

Questo servizio consente di replicare i carichi di lavoro in esecuzione nelle macchine virtuali di Azure Stack HCI locali nel cloud in modo che il sistema informativo possa essere ripristinato in caso di evento imprevisto, errore o perdita di supporti di archiviazione. Analogamente ad altri servizi cloud di Azure, Azure Site Recovery ha un lungo record di certificati di sicurezza, tra cui HITRUST, che è possibile usare per supportare il processo di accreditamento. Per altre informazioni, vedere Proteggere i carichi di lavoro delle macchine virtuali con Azure Site Recovery in Azure Stack HCI.

Server di Backup di Microsoft Azure (MABS)

Questo servizio consente di eseguire il backup di macchine virtuali Azure Stack HCI, specificando una frequenza e un periodo di conservazione desiderati. È possibile usare MABS per eseguire il backup della maggior parte delle risorse nell'ambiente, tra cui:

• Stato del sistema/ripristino bare metal (BMR) dell'host Azure Stack HCI
• Macchine virtuali guest in un cluster con archiviazione locale o collegata direttamente
• Macchine virtuali guest nel cluster Azure Stack HCI con archiviazione CSV
• Spostamento di macchine virtuali all'interno di un cluster

Per altre informazioni, vedere Eseguire il backup di macchine virtuali Azure Stack HCI con Backup di Azure Server.

Disponibilità e scalabilità

La funzionalità di scalabilità e disponibilità descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.6 - Gestione della capacità
• 8.14 - Ridondanza delle informazioni

Modelli iperconvergenti

Azure Stack HCI usa modelli iperconvergenti di Spazi di archiviazione diretta per distribuire i carichi di lavoro. Questo modello di distribuzione consente di ridimensionare facilmente aggiungendo nuovi nodi che espandono automaticamente il calcolo e l'archiviazione contemporaneamente senza tempi di inattività.

Cluster di failover

I cluster Azure Stack HCI sono cluster di failover. Se un server che fa parte di Azure Stack HCI si interrompe o non è più disponibile, un altro server nello stesso cluster di failover assume la funzione di fornire i servizi offerti dal nodo interrotto. È possibile creare un cluster di failover per abilitare spazi di archiviazione diretta costituiti da più server che eseguono Azure Stack HCI.