Area di progettazione: Sicurezza
Questa area di progettazione crea una base per la sicurezza negli ambienti Azure, ibridi e multicloud. È possibile migliorare questa base in un secondo momento con le indicazioni sulla sicurezza descritte nella metodologia di protezione di Cloud Adoption Framework.
Revisione dell'area di progettazione
Ruoli o funzioni coinvolti: quest'area di progettazione è guidata dalla sicurezza del cloud, in particolare dagli architetti della sicurezza all'interno del team. La piattaforma cloud e il centro di eccellenza cloud sono necessari per esaminare le decisioni relative a reti e identità. I ruoli collettivi potrebbero essere necessari per definire e implementare i requisiti tecnici derivanti da questo esercizio. Anche le misure di sicurezza più avanzate potrebbero richiedere il supporto della governance del cloud.
Ambito: l'obiettivo di questo esercizio è comprendere i requisiti di sicurezza e implementarli in modo coerente in tutti i carichi di lavoro nella piattaforma cloud. L'ambito principale di questo esercizio è incentrato sugli strumenti per le operazioni di sicurezza e sul controllo di accesso. Questo ambito include Zero Trust e sicurezza di rete avanzata.
Fuori ambito: questo esercizio è incentrato sulla base di un centro operazioni per la sicurezza moderno nel cloud. Per semplificare la conversazione, questo esercizio non tratta alcune discipline della metodologia di protezione di CAF. Le operazioni di sicurezza, la protezione degli asset e la sicurezza dell'innovazione si baseranno sulla distribuzione della zona di destinazione di Azure. Tuttavia, non rientrano nell'ambito di questa discussione dell'area di progettazione.
Panoramica dell'area di progettazione
La sicurezza è una considerazione fondamentale per tutti i clienti, in ogni ambiente. Durante la progettazione e l'implementazione di un'area di destinazione di Azure, è necessario tenere in considerazione la sicurezza durante tutto il processo.
L'area di progettazione della sicurezza è incentrata su considerazioni e raccomandazioni per le decisioni relative alla zona di destinazione. La metodologia di protezione di Cloud Adoption Framework fornisce anche indicazioni più approfondite per i processi e gli strumenti di sicurezza olistici.
Nuovo ambiente cloud (greenfield): per iniziare il percorso cloud con un piccolo set di sottoscrizioni, vedere Creare le sottoscrizioni di Azure iniziali. È anche consigliabile usare i modelli di distribuzione Bicep per creare le zone di destinazione di Azure. Per altre informazioni, vedere Azure Landing Zones Bicep - Deployment Flow.
Ambiente cloud esistente (brownfield): se si è interessati ad applicare i principi dall'area di progettazione della sicurezza agli ambienti Azure esistenti, è consigliabile usare i seguenti servizi di gestione di identità e accessi di Microsoft Entra:
- Usare le prime 10 procedure consigliate di Microsoft per la sicurezza di Azure. Queste indicazioni sintetizzano quelle comprovate da Microsoft Cloud Solution Architect (CSA) e partner Microsoft.
- Distribuire la sincronizzazione cloud di Microsoft Entra per fornire agli utenti locali di Active Directory Domain Services (AD DS) l'accesso Single Sign-On (SSO) sicuro alle applicazioni supportate da Microsoft Entra ID. Un vantaggio aggiuntivo per la configurazione dell'identità ibrida è la possibilità di applicare l'autenticazione a più fattori (MFA) e microsoft Entra Password Protection per proteggere ulteriormente queste identità
- È consigliabile usare l'accesso condizionale di Microsoft Entra per fornire l'autenticazione sicura alle app cloud e alle risorse di Azure.
- Implementare Microsoft Entra Privileged Identity Management per garantire l'accesso con privilegi minimi e la creazione di report approfonditi nell'intero ambiente Azure. I team dovranno avviare verifiche di accesso ricorrenti per assicurarsi che le persone e le entità servizio giuste abbiano i livelli di autorizzazione corretti e aggiornati.
- Usare le raccomandazioni, gli avvisi e le funzionalità di correzione di Microsoft Defender per il cloud. Il team di sicurezza può anche integrare Microsoft Defender per il cloud in Microsoft Sentinel se necessitano di una soluzione SIEM (Security Information Event Management)/SOAR (Security Orchestration and Response) ibrida e multicloud, gestita centralmente e più affidabile.
Il repository Azure Landing Zones Bicep - Deployment Flow contiene numerosi modelli di distribuzione Bicep che possono accelerare le distribuzioni di zone di destinazione di Azure greenfield e brownfield. Questi modelli integrano già le indicazioni sulla sicurezza Microsoft comprovate.
Per altre informazioni sull'uso in ambienti cloud brownfield, vedere Considerazioni sull'ambiente brownfield.
Microsoft Cloud Security Benchmark
Microsoft Cloud Security Benchmark include raccomandazioni sulla sicurezza di alto impatto che consentono di proteggere la maggior parte dei servizi in uso in Azure. È possibile pensare a queste raccomandazioni come generali o organizzative, perché sono applicabili alla maggior parte dei servizi di Azure. Le raccomandazioni di Microsoft Cloud Security Benchmark sono quindi personalizzate per ogni servizio di Azure. Queste linee guida personalizzate sono contenute negli articoli sulle raccomandazioni per i servizi.
La documentazione di Microsoft Cloud Security Benchmark specifica i controlli di sicurezza e le raccomandazioni per i servizi.
- Controlli di sicurezza: le raccomandazioni di Microsoft Cloud Security Benchmark sono classificate in base ai controlli di sicurezza. I controlli di sicurezza rappresentano requisiti di sicurezza di alto livello indipendenti dal fornitore come la sicurezza di rete e la protezione dei dati. Ogni controllo di sicurezza include un set di raccomandazioni e istruzioni per la sicurezza che consentono di implementare tali raccomandazioni.
- Raccomandazioni per i servizi: se disponibili, le raccomandazioni per i servizi di Azure includeranno le raccomandazioni di Microsoft Cloud Security Benchmark personalizzate per servizi specifici.
Attestazione di Azure
attestazione di Azure è uno strumento che consente di garantire la sicurezza e l'integrità della piattaforma e dei file binari eseguiti all'interno di esso. È particolarmente utile per le aziende che richiedono risorse di calcolo altamente scalabili e attendibilità senza compromessi con la funzionalità di attestazione remota.
Considerazioni sulla progettazione della sicurezza
Un'organizzazione deve avere visibilità su ciò che accade all'interno del cloud tecnico. Il monitoraggio della sicurezza e la registrazione di controllo dei servizi della piattaforma Azure rappresentano un componente chiave di un framework scalabile.
Considerazioni sulla progettazione delle operazioni di sicurezza
Ambito | Contesto |
---|---|
Avvisi di sicurezza | - Quali team richiedono notifiche per gli avvisi di sicurezza? - Esistono gruppi di servizi per i quali è richiesto il routing degli avvisi a team diversi? - Requisiti aziendali per il monitoraggio e gli avvisi in tempo reale. - Integrazione delle informazioni di sicurezza e della gestione degli eventi con Microsoft Defender for Cloud e Microsoft Sentinel. |
Registri di protezione | - Periodi di conservazione dei dati per i dati di controllo. I report P1 o P2 di Microsoft Entra ID hanno un periodo di conservazione di 30 giorni. - Archiviazione a lungo termine di log come i log attività di Azure, i log delle macchine virtuali (VM) e i log della piattaforma distribuita come servizio (PaaS, Platform as a Service). |
Controlli di sicurezza | - Configurazione della sicurezza di base tramite i criteri di Azure per le macchine virtuali in guest. - Valutare il modo in cui i controlli di sicurezza verranno allineati alle protezioni di governance. |
Gestione vulnerabilità | - Patch di emergenza per le vulnerabilità critiche. - Applicazione di patch per le macchine virtuali offline per lunghi periodi di tempo. - Valutazione delle vulnerabilità delle macchine virtuali. |
Responsabilità condivisa | - Dove sono gli handoff per le responsabilità del team? Queste responsabilità devono essere prese in considerazione per il monitoraggio o la risposta agli eventi di sicurezza. - Considerare le linee guida nella metodologia di protezione per le operazioni di sicurezza. |
Crittografia e chiavi | - Chi richiede l'accesso alle chiavi nell'ambiente? - Chi sarà responsabile della gestione delle chiavi? - Esplorare ulteriormente la crittografia e le chiavi. |
Attestazione | - Si userà Avvio attendibile per le macchine virtuali ed è necessaria l'attestazione dell'integrità dell'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver)? - Si vuole sfruttare la crittografia dei dischi riservati per le macchine virtuali riservate? - I carichi di lavoro richiedono l'attestazione che sono in esecuzione all'interno di un ambiente attendibile? |
Raccomandazioni per la progettazione delle operazioni di sicurezza
Usare le funzionalità di creazione report di Microsoft Entra ID per generare report di controllo di accesso.
Esportare i log attività di Azure nei log di Monitoraggio di Azure per la conservazione dei dati a lungo termine. Esportare in Archiviazione di Azure per l'archiviazione a lungo termine oltre i due anni, se necessario.
Abilitare Defender for Cloud Standard per tutte le sottoscrizioni e usare Criteri di Azure per garantire la conformità.
Monitorare la variazione delle patch del sistema operativo di base tramite i log di Monitoraggio di Azure e Microsoft Defender for Cloud.
Usare i criteri di Azure per distribuire automaticamente le configurazioni software tramite le estensioni della macchina virtuale e applicare una configurazione della macchina virtuale di base conforme.
Monitorare la variazione della configurazione di sicurezza delle macchine virtuali tramite Criteri di Azure.
Connettere le configurazioni predefinite delle risorse in un'area di lavoro Log Analytics di Monitoraggio di Azure centralizzata.
Usare una soluzione basata su Griglia di eventi di Azure per gli avvisi in tempo reale orientati ai log.
Usare attestazione di Azure per l'attestazione di:
- Integrità dell'intera catena di avvio della macchina virtuale. Per altre informazioni, vedere Panoramica del monitoraggio dell'integrità dell'avvio.
- Rilascio sicuro delle chiavi di crittografia dei dischi riservati per una macchina virtuale riservata. Per altre informazioni, vedere Crittografia dischi del sistema operativo riservato.
- Vari tipi di ambienti di esecuzione attendibili del carico di lavoro. Per altre informazioni, vedere Casi d'uso.
Considerazioni sulla progettazione del controllo di accesso
I limiti di sicurezza moderni sono più complessi rispetto ai limiti in un data center tradizionale. Gli asset degli utenti non saranno più contenuti all'interno del data center. Tenere gli utenti fuori dalla rete protetta non è più sufficiente per controllare l'accesso. Nel cloud il perimetro è costituito da due parti: controlli di sicurezza di rete e controlli di accesso Zero Trust.
Sicurezza di rete avanzata
Ambito | Contesto |
---|---|
Pianificare la connettività Internet in ingresso e in uscita | Descrive i modelli di connettività consigliati per la connettività in ingresso e in uscita da e verso la rete Internet pubblica. |
Pianificare la segmentazione della rete della zona di destinazione | Esplora le principali raccomandazioni per offrire una segmentazione di rete interna altamente sicura all'interno di una zona di destinazione. Queste raccomandazioni guidano l'implementazione della rete Zero Trust. |
Definire i requisiti di crittografia di rete | Esplora le principali raccomandazioni per la crittografia di rete tra l'ambiente locale e Azure e tra le aree di Azure. |
Pianificare l'ispezione del traffico | Esplora le principali considerazioni e gli approcci consigliati per il mirroring o l'intercettazione del traffico all'interno della rete virtuale di Azure. |
Zero Trust
Per l'accesso Zero Trust con identità, è consigliabile prendere in considerazione:
- Quali team o persone richiedono l'accesso ai servizi all'interno della zona di destinazione? Quali ruoli svolgono?
- Chi deve autorizzare le richieste di accesso?
- Chi deve ricevere le notifiche quando vengono attivati i ruoli con privilegi?
- Chi deve avere accesso alla cronologia dei controlli?
Per altre informazioni, vedere Microsoft Entra Privileged Identity Management.
L'implementazione di Zero Trust può andare oltre la gestione delle identità e degli accessi. È consigliabile considerare se l'organizzazione deve implementare procedure Zero Trust in più pilastri, ad esempio infrastruttura, dati e rete. Per altre informazioni, vedere Incorporare le procedure Zero Trust nella zona di destinazione
Raccomandazioni per la progettazione del controllo di accesso
Nel contesto dei requisiti sottostanti, eseguire un esame congiunto di ogni servizio richiesto. Se si vogliono usare chiavi proprie, è possibile che non siano supportate in tutti i servizi considerati. Implementare la mitigazione pertinente in modo che le incoerenze non ostacolino i risultati desiderati. Scegliere le coppie di aree e le aree di ripristino di emergenza appropriate che riducono al minimo la latenza.
Sviluppare un piano di elenco elementi consentiti per la sicurezza per valutare servizi come la configurazione della sicurezza, il monitoraggio e gli avvisi. Creare quindi un piano per integrarli con i sistemi esistenti.
Determinare il piano di risposta agli eventi imprevisti per i servizi di Azure prima di spostarli nell'ambiente di produzione.
Allineare i requisiti di sicurezza alle roadmap della piattaforma Azure per rimanere aggiornati sui nuovi controlli di sicurezza rilasciati.
Implementare un approccio Zero Trust per l'accesso alla piattaforma Azure, dove appropriato.
Sicurezza nell'acceleratore della zona di destinazione di Azure
La sicurezza è alla base dell'acceleratore della zona di destinazione di Azure. Come parte dell'implementazione, vengono distribuiti molti strumenti e controlli per consentire alle organizzazioni di raggiungere rapidamente una baseline di sicurezza.
Sono inclusi, ad esempio, gli elementi seguenti:
Strumenti:
- Microsoft Defender for Cloud, livello Standard o gratuito
- Microsoft Sentinel
- Protezione della rete Azure DDoS (facoltativo)
- Firewall di Azure
- Web Application Firewall (WAF)
- Privileged Identity Management (PIM)
Criteri per le zone di destinazione online e connesse all'azienda:
- Applicare l'accesso sicuro, come HTTPS, agli account di archiviazione
- Applicare il controllo per il database SQL di Azure
- Applicare la crittografia per il database SQL di Azure
- Impedire l'inoltro IP
- Impedire RDP in ingresso da Internet
- Assicurarsi che le subnet siano associate al gruppo di sicurezza di rete
Passaggi successivi
Informazioni su come proteggere l'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.