Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
DNS di Azure offre un modo affidabile e sicuro per ospitare i domini DNS e gestire i record DNS in Azure. Come servizio di rete critico che converte i nomi di dominio in indirizzi IP e instrada il traffico attraverso Internet, la protezione della distribuzione DNS è essenziale per evitare attacchi DNS, modifiche non autorizzate e interruzioni del servizio che potrebbero influire sull'intera infrastruttura.
Questo articolo fornisce indicazioni su come proteggere al meglio la distribuzione dns di Azure.
Sicurezza della rete
La sicurezza di rete per DNS di Azure è incentrata sulla protezione dell'infrastruttura DNS da minacce esterne e sulla sicurezza dei servizi di risoluzione DNS. I controlli di rete appropriati consentono di evitare attacchi DNS e mantenere l'integrità del servizio.
Usare zone DNS private per le risorse interne: distribuire zone DNS private di Azure per la risoluzione dei nomi interna all'interno delle reti virtuali per impedire l'esposizione dei record DNS interni ai server DNS pubblici. Le zone DNS private mantengono l'infrastruttura interna nascosta dalla ricognizione esterna.
Configurare i criteri di sicurezza DNS: usare i criteri di sicurezza DNS per controllare e monitorare le query DNS, bloccare l'accesso a domini dannosi e implementare azioni del traffico come consentire, bloccare o inviare avvisi per elenchi di domini specifici. Per altre informazioni, vedere Criteri di sicurezza DNS.
Implementare record alias per gli aggiornamenti automatici: utilizzare i record alias DNS per aggiornare automaticamente i riferimenti agli indirizzi IP quando le risorse sottostanti cambiano, prevenendo rischi per la sicurezza derivanti da voci DNS obsolete che potrebbero reindirizzare gli utenti a risorse compromesse o errate. Per altre informazioni, vedere Panoramica dei record alias DNS di Azure.
Accesso con privilegi
La gestione degli accessi con privilegi per DNS di Azure garantisce che solo gli utenti autorizzati possano modificare le zone e i record DNS seguendo il principio dei privilegi minimi. I controlli di accesso appropriati impediscono modifiche DNS non autorizzate che reindirizzano il traffico o compromettono i servizi.
Implementare il controllo degli accessi in base al ruolo: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse DNS tramite assegnazioni di ruolo predefinite. Assegnare ruoli a utenti, gruppi, entità servizio e identità gestite in base alle proprie responsabilità specifiche. Per altre informazioni, vedere Come proteggere le zone e i record DNS.
Usare autorizzazioni DNS granulari: assegnare ruoli DNS specifici, ad esempio Collaboratore zona DNS o Collaboratore zona DNS privato anziché ruoli amministrativi generali. Creare ruoli personalizzati per un controllo con granularità fine, ad esempio consentire agli utenti di gestire solo tipi di record specifici come i record CNAME. Per altre informazioni, vedere Come proteggere le zone e i record DNS.
Applicare controlli di accesso a livello di zona e a livello di record: configurare le autorizzazioni di controllo degli accessi in base al ruolo a livelli diversi, ovvero sottoscrizione, gruppo di risorse, singola zona DNS o singolo set di record, per garantire che gli utenti possano accedere solo alle risorse DNS necessarie per le proprie responsabilità.
Implementare i blocchi delle risorse per le zone critiche: applicare blocchi di Azure Resource Manager alle zone DNS e ai set di record per impedire l'eliminazione o la modifica accidentali. Usare i blocchi CanNotDelete per impedire l'eliminazione della zona e i blocchi ReadOnly per impedire tutte le modifiche. Per altre informazioni, vedere Come proteggere le zone e i record DNS.
Applicare i principi dei privilegi minimi: concedere agli utenti solo le autorizzazioni minime necessarie per eseguire le attività di gestione DNS. Usare ruoli DNS specifici anziché ruoli amministrativi generali per limitare la potenziale esposizione alla sicurezza.
Proteggere l'accesso amministrativo: implementare l'autenticazione a più fattori e le workstation di accesso con privilegi per tutti gli utenti che dispongono delle autorizzazioni per modificare le zone e i record DNS.
Verifiche di accesso regolari: eseguire verifiche periodiche delle autorizzazioni utente e dei diritti di accesso alle risorse DNS per garantire che l'accesso rimanga appropriato e segua il principio dei privilegi minimi.
Protezione dei dati
La protezione dei dati per DNS di Azure è incentrata sulla protezione dell'integrità dei dati DNS e sulla prevenzione dell'accesso non autorizzato alle informazioni di configurazione DNS e alle query sui dati.
Usare la difesa avanzata per la protezione della zona: implementare contemporaneamente ruoli personalizzati e blocchi delle risorse come approccio completo alla difesa avanzata per proteggere le zone DNS critiche da modifiche accidentali o dannose.
Implementare un processo di eliminazione in due passaggi: per le zone critiche, usare ruoli personalizzati che non includono autorizzazioni di eliminazione della zona. Senza autorizzazioni di eliminazione, gli amministratori devono prima concedere autorizzazioni di eliminazione e quindi eseguire l'eliminazione come processo in due passaggi per impedire l'eliminazione accidentale della zona.
Proteggere l'integrità delle query DNS: monitorare i modelli di query DNS per rilevare potenziali tentativi di tunneling DNS, query a domini dannosi noti o altri indicatori di compromissione che potrebbero indicare l'esfiltrazione dei dati tramite canali DNS.
Registrazione e rilevamento delle minacce
La registrazione e il monitoraggio completi per DNS di Azure offrono visibilità essenziale sui modelli di query DNS e sui potenziali eventi di sicurezza. La registrazione e il monitoraggio consentono un rilevamento efficace delle minacce, un'indagine sulla sicurezza e consente di soddisfare i requisiti di conformità.
Abilitare Microsoft Defender per DNS: usare Azure Defender per DNS per monitorare le query DNS e rilevare attività sospette senza richiedere agenti sulle risorse. Azure Defender per DNS offre il rilevamento delle minacce in tempo reale per gli attacchi basati su DNS. Per altre informazioni, vedere Panoramica di Microsoft Defender per DNS.
Configurare i log delle risorse di Azure: abilitare i log delle risorse per il servizio DNS di Azure per acquisire informazioni dettagliate sulle query DNS e inviarle alle aree di lavoro Log Analytics, agli account di archiviazione o agli hub eventi per l'analisi e la conservazione a lungo termine. Per altre informazioni, vedere Metriche e avvisi di DNS di Azure.
Configurare il monitoraggio e gli avvisi: configurare gli avvisi di Monitoraggio di Azure per notificare agli amministratori quando vengono rilevati modelli di query DNS insoliti, modifiche alla configurazione o potenziali minacce alla sicurezza.
Monitorare l'analisi delle query DNS: analizzare i log delle query DNS per identificare modelli di traffico insoliti, potenziali tentativi di tunneling DNS o query a domini dannosi noti.
Abilitare la registrazione di controllo: tenere traccia di tutte le modifiche amministrative alle zone e ai record DNS per mantenere un audit trail completo per scopi di conformità e analisi della sicurezza.
Monitorare le modifiche accidentali: creare avvisi per rilevare modifiche impreviste della zona DNS o registrare le modifiche e rispondere rapidamente agli eventi imprevisti o agli errori di sicurezza.
Gestione delle risorse
La gestione degli asset per DNS di Azure prevede l'implementazione di controlli di governance, il monitoraggio delle configurazioni e la conformità ai criteri di sicurezza dell'organizzazione. La gestione corretta degli asset consente di mantenere il comportamento di sicurezza e la visibilità operativa.
Implementare la governance di Azure Policy: usare Azure Policy per monitorare e applicare le configurazioni delle risorse DNS di Azure. Configurare i criteri per controllare e applicare la configurazione sicura tra zone e record DNS. Per ulteriori informazioni, consultare Definizioni integrate dei criteri di Azure per i servizi di rete di Azure.
Usare Microsoft Defender for Cloud: configurare Criteri di Azure tramite Microsoft Defender for Cloud per controllare e applicare le configurazioni delle risorse DNS. Creare avvisi quando vengono rilevate deviazioni di configurazione.
Applicare l'imposizione della configurazione: usare gli effetti di negazione e distribuzione se non esiste di Criteri di Azure per applicare configurazioni sicure tra le risorse DNS di Azure e impedire distribuzioni non conformi.
Gestire l'inventario delle risorse: mantenere i record dettagliati delle zone DNS, dei set di record e delle relative configurazioni per supportare valutazioni della sicurezza e report di conformità.
Implementare l'assegnazione di tag alle risorse: applicare tag di risorse coerenti alle risorse DNS per scopi di organizzazione, rilevamento dei costi e conformità alla sicurezza.
Monitorare la conformità della configurazione: esaminare regolarmente le configurazioni DNS in base agli standard di sicurezza dell'organizzazione e usare Criteri di Azure per rilevare e correggere automaticamente la deviazione della configurazione.
Dipendenze dell'area documento: gestire la documentazione delle relazioni e delle dipendenze della zona DNS per comprendere l'effetto delle modifiche e garantire processi di gestione delle modifiche appropriati.