Procedure consigliate per la sicurezza operativa di Azure

  • Articolo
  • 20 minuti per la lettura

Questo articolo fornisce un set di procedure consigliate operative per la protezione di dati, applicazioni e altri asset in Azure.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.

Definire e distribuire procedure di sicurezza operative complesse

La sicurezza operativa di Azure include i servizi, i controlli e le funzionalità offerti agli utenti per proteggere i dati, le applicazioni e gli altri asset di Azure. La sicurezza operativa di Azure è basata su un framework che incorpora le conoscenze acquisite tramite funzionalità esclusive di Microsoft, tra cui security development lifecycle (SDL), il programma Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la cybersecurity.

Gestire e monitorare le password utente

La tabella seguente elenca alcune procedure consigliate relative alla gestione delle password utente:

Procedura consigliata: assicurarsi di avere il livello di protezione delle password appropriato nel cloud.
Dettagli: seguire le indicazioni riportate in Linee guida per le password Microsoft, con ambito per gli utenti delle piattaforme di gestione delle identità Microsoft (Azure Active Directory, Active Directory e account Microsoft).

Procedura consigliata: monitorare le azioni sospette correlate agli account utente.
Dettagli: monitorare gli utenti a rischio e gli accessi a rischio usando i report di sicurezza di Azure AD.

Procedura consigliata: rilevare e correggere automaticamente le password ad alto rischio.
Dettagli: Azure AD Identity Protection è una funzionalità dell'edizione Azure AD Premium P2 che consente di:

  • Rilevare potenziali vulnerabilità che influiscono sulle identità dell'organizzazione
  • Configurare risposte automatizzate alle azioni sospette rilevate correlate alle identità dell'organizzazione
  • Analizzare gli eventi imprevisti sospetti ed eseguire le azioni appropriate per risolverli

Ricevere notifiche sugli eventi imprevisti da Microsoft

Assicurarsi che il team operativo della sicurezza riceva le notifiche degli eventi imprevisti di Azure da Microsoft. Una notifica degli eventi imprevisti consente al team di sicurezza di conoscere le risorse di Azure compromesse in modo che possano rispondere rapidamente e correggere potenziali rischi per la sicurezza.

Nel portale di registrazione di Azure è possibile assicurarsi che le informazioni di contatto dell'amministratore includano i dettagli che notificano le operazioni di sicurezza. Le informazioni di contatto sono un indirizzo di posta elettronica e un numero di telefono.

Organizzare le sottoscrizioni di Azure in gruppi di gestione

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di ambito superiore alle sottoscrizioni. Le sottoscrizioni vengono organizzate in contenitori denominati gruppi di gestione e le condizioni di governance vengono applicate ai gruppi di gestione. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni in una directory. A ogni directory viene assegnato un singolo gruppo di gestione di primo livello denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Il gruppo di gestione radice consente l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory.

Ecco alcune procedure consigliate per l'uso dei gruppi di gestione:

Procedura consigliata: assicurarsi che le nuove sottoscrizioni applichino elementi di governance come criteri e autorizzazioni man mano che vengono aggiunti.
Dettagli: usare il gruppo di gestione radice per assegnare elementi di sicurezza a livello aziendale che si applicano a tutti gli asset di Azure. I criteri e le autorizzazioni sono esempi di elementi.

Procedura consigliata: allineare i livelli principali dei gruppi di gestione con la strategia di segmentazione per fornire un punto per il controllo e la coerenza dei criteri all'interno di ogni segmento.
Dettagli: creare un singolo gruppo di gestione per ogni segmento nel gruppo di gestione radice. Non creare altri gruppi di gestione nella radice.

Procedura consigliata: limitare la profondità del gruppo di gestione per evitare confusione che ostacola sia le operazioni che la sicurezza.
Dettagli: limitare la gerarchia a tre livelli, inclusa la radice.

Procedura consigliata: selezionare attentamente gli elementi da applicare all'intera azienda con il gruppo di gestione radice.
Dettagli: assicurarsi che gli elementi del gruppo di gestione radice abbiano una chiara necessità di essere applicati in ogni risorsa e che abbiano un impatto basso.

Ecco alcuni candidati appropriati:

  • Requisiti normativi che hanno un chiaro impatto aziendale (ad esempio, restrizioni correlate alla sovranità dei dati)
  • Requisiti con un potenziale effetto negativo quasi zero sulle operazioni, ad esempio criteri con effetto di controllo o assegnazioni di autorizzazioni di Controllo degli accessi in base al ruolo di Azure che sono state esaminate attentamente

Procedura consigliata: pianificare e testare attentamente tutte le modifiche a livello aziendale nel gruppo di gestione radice prima di applicarle (criteri, modello di controllo degli accessi in base al ruolo di Azure e così via).
Dettagli: le modifiche nel gruppo di gestione radice possono influire su ogni risorsa in Azure. Sebbene forniscano un modo efficace per garantire la coerenza tra le aziende, gli errori o l'utilizzo errato possono influire negativamente sulle operazioni di produzione. Testare tutte le modifiche apportate al gruppo di gestione radice in un lab di test o in un progetto pilota di produzione.

Semplificare la creazione dell'ambiente con i progetti

Il servizio Azure Blueprints consente agli architetti cloud e ai gruppi di tecnologie dell'informazione centrale di definire un set ripetibile di risorse di Azure che implementa e rispetta gli standard, i modelli e i requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e gestire rapidamente nuovi ambienti con un set di componenti predefiniti e la certezza che creino tali ambienti all'interno della conformità dell'organizzazione.

Monitorare i servizi di archiviazione per rilevare cambiamenti inattesi nel comportamento

La diagnosi e la risoluzione dei problemi in un'applicazione distribuita ospitata in un ambiente cloud possono essere più complesse di quanto lo siano in ambienti tradizionali. Le applicazioni possono essere distribuite in un'infrastruttura PaaS o IaaS, in locale, su un dispositivo mobile o in una combinazione di questi tipi di ambienti. Il traffico di rete dell'applicazione può passare su reti pubbliche e private e l'applicazione può usare più tecnologie di archiviazione.

È consigliabile monitorare continuamente i servizi di archiviazione usati dall'applicazione per individuare eventuali cambiamenti inattesi nel comportamento, ad esempio tempi di risposta più lunghi. Usare la registrazione per raccogliere dati più dettagliati e analizzare un problema in modo approfondito. Le informazioni di diagnostica che si ottengono con il monitoraggio e la registrazione aiutano a determinare la causa radice del problema incontrato dall'applicazione. È possibile quindi identificare il problema e determinare le misure appropriate per correggerlo.

Il servizio Analisi archiviazione di Azure esegue la registrazione e fornisce i dati di metrica per un account di archiviazione di Azure. È consigliabile usare questi dati per tenere traccia delle richieste, analizzare le tendenze di utilizzo e diagnosticare i problemi relativi al proprio account di archiviazione.

Prevenire le minacce, rilevarle e rispondere

Microsoft Defender for Cloud consente di prevenire, rilevare e rispondere alle minacce offrendo maggiore visibilità (e controllo) sulla sicurezza delle risorse di Azure. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, aiuta il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con varie soluzioni di sicurezza.

Il livello gratuito di Defender for Cloud offre una sicurezza limitata per le risorse in Azure e per le risorse abilitate per Arc all'esterno di Azure. Le funzionalità di sicurezza Enahanced estendono queste funzionalità per includere gestione di minacce e vulnerabilità, nonché la creazione di report sulla conformità alle normative. I piani di Defender per cloud consentono di individuare e correggere le vulnerabilità di sicurezza, applicare controlli di accesso e applicazioni per bloccare attività dannose, rilevare le minacce usando l'analisi e l'intelligence e rispondere rapidamente in caso di attacco. È possibile provare Defender for Cloud Standard senza costi per i primi 30 giorni. È consigliabile abilitare funzionalità di sicurezza avanzate nelle sottoscrizioni di Azure in Defender for Cloud.

Usare Defender for Cloud per ottenere una visualizzazione centrale dello stato di sicurezza di tutte le risorse nei data center, in Azure e in altri cloud. Il Centro sicurezza consente di verificare subito che i controlli di sicurezza appropriati siano implementati e configurati correttamente e di identificare rapidamente le risorse che richiedono attenzione.

Defender for Cloud si integra anche con Microsoft Defender per endpoint, che offre funzionalità di rilevamento e risposta (EDR) complete. Con l'integrazione Microsoft Defender per endpoint è possibile individuare anomalie e rilevare vulnerabilità. È anche possibile rilevare e rispondere ad attacchi avanzati sugli endpoint server monitorati da Defender for Cloud.

Quasi tutte le organizzazioni aziendali dispongono di un sistema SIEM (Security Information and Event Management) per identificare le minacce emergenti consolidando le informazioni di log da dispositivi di raccolta di segnali diversi. I log vengono quindi analizzati da un sistema di analisi dei dati per identificare ciò che è "interessante" dal rumore inevitabile in tutte le soluzioni di raccolta e analisi dei log.

Microsoft Sentinel è una soluzione SOAR (Security Information and Event Management) scalabile, nativa del cloud e di gestione degli eventi (SIEM) e della risposta automatica dell'orchestrazione della sicurezza. Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce tramite il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta automatica alle minacce.

Ecco alcune procedure consigliate per prevenire, rilevare e rispondere alle minacce:

Procedura consigliata: aumentare la velocità e la scalabilità della soluzione SIEM usando un siem basato sul cloud.
Dettagli: esaminare le funzionalità e le funzionalità di Microsoft Sentinel e confrontarle con le funzionalità degli elementi attualmente in uso in locale. Prendere in considerazione l'adozione di Microsoft Sentinel se soddisfa i requisiti SIEM dell'organizzazione.

Procedura consigliata: individuare le vulnerabilità di sicurezza più gravi in modo da poter classificare in ordine di priorità l'analisi.
Dettagli: esaminare il punteggio di sicurezza di Azure per visualizzare le raccomandazioni risultanti dai criteri e dalle iniziative di Azure integrate in Microsoft Defender for Cloud. Queste raccomandazioni consentono di risolvere i principali rischi, ad esempio aggiornamenti della sicurezza, protezione degli endpoint, crittografia, configurazioni di sicurezza, WAF mancante, macchine virtuali connesse a Internet e molti altri ancora.

Il punteggio di sicurezza, basato sui controlli CIS (Center for Internet Security), consente di eseguire il benchmark della sicurezza di Azure dell'organizzazione rispetto alle origini esterne. La convalida esterna consente di convalidare e arricchire la strategia di sicurezza del team.

Procedura consigliata: monitorare il comportamento di sicurezza di computer, reti, servizi di archiviazione e dati e applicazioni per individuare e classificare in ordine di priorità i potenziali problemi di sicurezza.
Dettagli: seguire le raccomandazioni sulla sicurezza in Defender for Cloud a partire dagli elementi con priorità più alta.

Procedura consigliata: integrare gli avvisi di Defender for Cloud nella soluzione SIEM (Security Information and Event Management).
Dettagli: la maggior parte delle organizzazioni con siem la usa come clearinghouse centrale per gli avvisi di sicurezza che richiedono una risposta analista. Gli eventi elaborati prodotti da Defender per il cloud vengono pubblicati nel log attività di Azure, uno dei log disponibili tramite Monitoraggio di Azure. Monitoraggio di Azure offre una pipeline consolidata per eseguire il routing dei dati di monitoraggio in uno strumento SIEM. Per istruzioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT. Se si usa Microsoft Sentinel, vedere Connettere Microsoft Defender for Cloud.

Procedura consigliata: integrare i log di Azure con siem.
Dettagli: usare Monitoraggio di Azure per raccogliere ed esportare i dati. Questa procedura è fondamentale per abilitare l'analisi degli eventi imprevisti di sicurezza e la conservazione dei log online è limitata. Se si usa Microsoft Sentinel, vedere Connettere le origini dati.

Procedura consigliata: velocizzare le indagini e i processi di ricerca e ridurre i falsi positivi integrando funzionalità di rilevamento degli endpoint e risposta (EDR) nell'indagine sugli attacchi.
Dettagli: abilitare l'integrazione Microsoft Defender per endpoint tramite i criteri di sicurezza Defender for Cloud. Valutare l'opportunità di usare Microsoft Sentinel per la ricerca delle minacce e la risposta agli eventi imprevisti.

Monitoraggio della rete basato su scenari end-to-end

Per creare una rete end-to-end in Azure, i clienti combinano varie risorse di rete, ad esempio una rete virtuale, ExpressRoute, un gateway applicazione e servizi di bilanciamento del carico. Il monitoraggio è disponibile in ognuna delle risorse di rete.

Network Watcher di Azure è un servizio a livello di area, dotato di strumenti di diagnostica e di visualizzazione che consentono di monitorare e diagnosticare le condizioni a livello di scenario di rete in Azure, verso e da Azure.

Di seguito vengono descritte le procedure consigliate per il monitoraggio della rete e gli strumenti disponibili.

Procedura consigliata: Automatizzare il monitoraggio della rete remota con l'acquisizione dei pacchetti.
Dettaglio: monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali usando Network Watcher. Attivare l'acquisizione dei pacchetti impostando avvisi e ottenere l'accesso alle informazioni sulle prestazioni in tempo reale a livello di pacchetto. Quando viene rilevato un problema, è possibile esaminarlo in dettaglio per una diagnosi migliore.

Procedura consigliata: acquisire informazioni dettagliate sul traffico di rete usando i log dei flussi.
Dettaglio: ottenere informazioni approfondite sui modelli di traffico di rete con i log dei flussi del gruppo di sicurezza di rete. Le informazioni contenute nei log dei flussi aiutano a raccogliere i dati per la conformità, il controllo e il monitoraggio del profilo di sicurezza della rete.

Procedura consigliata: diagnosticare i problemi di connettività VPN.
Dettagli: usare Network Watcher per diagnosticare i problemi di connessione e Gateway VPN più comuni. Non è solo possibile identificare il problema ma si può anche usare i log dettagliati per altre indagini.

Distribuzione sicura tramite strumenti DevOps collaudati

Usare le seguenti procedure consigliate di DevOps per assicurarsi che i team e l'azienda siano produttivi ed efficienti.

Procedura consigliata: automatizzare la creazione e la distribuzione di servizi.
Dettaglio: l'infrastruttura come codice rappresenta un set di tecniche e procedure che aiutano i professionisti IT a evitare il carico di lavoro associato alla creazione e alla gestione quotidiana dell'infrastruttura modulare. Lo scopo è consentire ai professionisti IT di creare e gestire un ambiente server moderno in modo simile a quello usato dagli sviluppatori di software per creare e gestire il codice delle applicazioni.

È possibile usare Azure Resource Manager per effettuare il provisioning delle applicazioni usando un modello dichiarativo. In un unico modello, è possibile distribuire più servizi con le relative dipendenze. Lo stesso modello viene usato per distribuire ripetutamente l'applicazione in ogni fase del ciclo di vita dell'applicazione.

Procedura consigliata: compilare e distribuire automaticamente app Web o servizi cloud di Azure.
Dettagli: è possibile configurare Azure DevOps Projects per compilare e distribuire automaticamente le app Web di Azure o i servizi cloud. Azure DevOps distribuisce automaticamente i file binari dopo aver eseguito una compilazione in Azure dopo ogni check-in del codice. Il processo di compilazione del pacchetto equivale al comando Pacchetto di Visual Studio, mentre i passaggi per la pubblicazione equivalgono al comando Pubblica di Visual Studio.

Procedura consigliata: automatizzare la gestione del rilascio.
Dettaglio: Azure Pipelines è una soluzione per automatizzare la distribuzione in più fasi e la gestione del processo di rilascio. È possibile creare pipeline gestite di distribuzione continua per rilasciare versioni in modo rapido, semplice e frequente. Con Azure Pipelines è possibile automatizzare il processo di rilascio e definire flussi di lavoro predefiniti per l'approvazione. Sono supportate la distribuzione locale e nel cloud, l'estensione e la personalizzazione in base alle specifiche esigenze.

Procedura consigliata: verificare le prestazioni dell'app prima di implementarla o di distribuirne gli aggiornamenti nell'ambiente di produzione.
Dettagli: Eseguire test di carico basati sul cloud per:

  • Individuare problemi di prestazioni nell'app.
  • Migliorare la qualità della distribuzione.
  • Assicurarsi che l'app sia sempre disponibile.
  • Assicurarsi che l'app possa gestire il traffico per la prossima campagna di lancio o di marketing.

Apache JMeter è uno strumento gratuito e popolare open source con un forte backup della community.

Procedura consigliata: monitorare le prestazioni dell'applicazione.
Dettaglio: Azure Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. È possibile usare Application Insights per monitorare l'applicazione Web mentre è in esecuzione. Il servizio rileva automaticamente le anomalie nelle prestazioni e include strumenti di analisi che consentono di diagnosticare i problemi e di conoscere come viene effettivamente usata l'app dagli utenti. Il servizio è progettato per supportare il miglioramento continuo delle prestazioni e dell'usabilità.

Attenuazione e protezione da attacchi Distributed Denial of Service (DDoS)

Il Distributed Denial of Service (DDoS) è un tipo di attacco che tenta di esaurire le risorse dell'applicazione. L'obiettivo è compromettere la disponibilità e la capacità dell'applicazione di gestire richieste legittime. Gli attacchi stanno diventando più sofisticati con dimensioni e impatto maggiori. Possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

La progettazione e la creazione per la resilienza agli attacchi Distributed Denial of Service (DDoS) richiedono pianificazione e progettazione per un'ampia gamma di modalità di errore. Di seguito vengono descritte le procedure consigliate per la creazione di servizi resilienti a DDoS in Azure.

Procedura consigliata: assicurarsi che la sicurezza sia un aspetto prioritario durante l'intero ciclo di vita di un'applicazione, dalla progettazione e l'implementazione alla distribuzione e al funzionamento. Le applicazioni possono contenere bug che consentono a un volume relativamente basso di richieste di usare una quantità elevata di risorse, provocando un'interruzione del servizio.
Dettaglio: per proteggere un servizio in esecuzione in Microsoft Azure, è consigliabile avere una buona conoscenza dell'architettura delle applicazioni e concentrarsi sui cinque punti chiave della qualità del software. I clienti devono conoscere i volumi di traffico tipici, il modello di connettività tra l'applicazione e le altre applicazioni e gli endpoint di servizio esposti a Internet pubblico.

Garantire che un'applicazione sia abbastanza resiliente da riuscire a gestire un attacco Denial of Service destinato all'applicazione stessa è di fondamentale importanza. Sicurezza e privacy sono integrate direttamente nella piattaforma di Azure, a partire dal processo Security Development Lifecycle (SDL). SDL si rivolge alla sicurezza in ogni fase di sviluppo e assicura che Azure sia continuamente aggiornato per renderlo ancora più sicuro.

Procedura consigliata: progettare le applicazioni con scalabilità orizzontale per soddisfare la richiesta di un carico amplificato, in particolare in caso di attacco DDoS. Se l'applicazione dipende da una singola istanza di un servizio, crea un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.
Dettaglio: per Servizio app di Azure selezionare un piano di servizio app che offra più istanze.

Per Azure Servizi cloud, configurare ognuno dei ruoli per l'uso di più istanze.

Per Azure Macchine virtuali, assicurarsi che l'architettura della macchina virtuale includa più macchine virtuali e che ogni macchina virtuale sia inclusa in un set di disponibilità. È consigliabile usare set di scalabilità di macchine virtuali per le funzionalità di scalabilità automatica.

Procedura consigliata: la disposizione delle difese su più livelli in un'applicazione riduce le probabilità di riuscita degli attacchi. Implementare progettazioni sicure per le applicazioni tramite le funzionalità integrate della piattaforma di Azure.
Dettaglio: il rischio di attacco aumenta con le dimensioni (superficie di attacco) dell'applicazione. È possibile ridurre l'area di superficie usando un elenco di approvazione per chiudere lo spazio indirizzi IP esposto e le porte di ascolto che non sono necessarie nei servizi di bilanciamento del carico (Azure Load Balancer e gateway applicazione di Azure).

I gruppi di sicurezza di rete rappresentano un altro modo per ridurre la superficie di attacco. È possibile usare tag di servizio e gruppi di sicurezza dell'applicazione per ridurre la complessità per la creazione della regola di sicurezza e configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione.

Distribuire i servizi di Azure in una rete virtuale, laddove possibile. Ciò consente alle risorse del servizio di comunicare attraverso indirizzi IP privati. Il traffico del servizio di Azure da una rete virtuale usa indirizzi IP pubblici come indirizzi IP di origine per impostazione predefinita.

Tramite gli endpoint di servizio il traffico del servizio passa all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale.

Le risorse locali dei clienti che vengono spesso attaccate insieme alle risorse in Azure. Se si connette un ambiente locale ad Azure, ridurre al minimo l'esposizione delle risorse locali alla rete Internet pubblica.

Azure prevede due offerte di servizio contro gli attacchi DDoS per la protezione della rete:

  • La protezione di base è integrata in Azure per impostazione predefinita senza costi aggiuntivi. La scala e la capacità complete della rete globalmente distribuita di Azure forniscono una difesa contro gli attacchi comuni a livello di rete tramite il monitoraggio costante del traffico e la mitigazione in tempo reale. La protezione di base non richiede alcuna modifica della configurazione utente o dell'applicazione e aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS come DNS di Azure.
  • La protezione standard offre funzionalità avanzate di attenuazione degli attacchi DDoS contro gli attacchi alla rete e viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure. La protezione è semplice da abilitare durante la creazione di reti virtuali. Può essere abilitata anche dopo la creazione e non richiede alcuna modifica delle applicazioni o delle risorse.

Abilitare Criteri di Azure

Criteri di Azure è un servizio in Azure usato per creare, assegnare e gestire i criteri. Questi criteri applicano regole ed effetti sulle risorse, quindi queste risorse rimangono conformi agli standard aziendali e ai contratti a livello di servizio. Criteri di Azure soddisfa questa esigenza valutando la mancata conformità delle risorse ai criteri assegnati.

Abilitare Criteri di Azure per monitorare e applicare i criteri scritti dell'organizzazione. Ciò garantisce la conformità ai requisiti di sicurezza aziendali o normativi gestendo centralmente i criteri di sicurezza nei carichi di lavoro cloud ibridi. Informazioni su come creare e gestire i criteri per applicare la conformità. Per una panoramica degli elementi di un criterio, vedere Criteri di Azure struttura di definizione.

Ecco alcune procedure consigliate per la sicurezza da seguire dopo l'adozione di Criteri di Azure:

Procedura consigliata: i criteri supportano diversi tipi di effetti. È possibile leggere le informazioni in Criteri di Azure struttura di definizione. Le operazioni aziendali possono essere influenzate negativamente dall'effetto di negazione e dall'effetto di correzione , quindi iniziare con l'effetto di controllo per limitare il rischio di impatto negativo dai criteri.
Dettagli:avviare le distribuzioni dei criteri in modalità di controllo e quindi procedere in un secondo momento per negare o correggere. Testare e esaminare i risultati dell'effetto di controllo prima di passare a negare o correggere.

Per altre informazioni, vedere Creare e gestire i criteri per applicare la conformità.

Procedura consigliata: identificare i ruoli responsabili del monitoraggio delle violazioni dei criteri e garantire che venga eseguita rapidamente l'azione di correzione corretta.
Dettagli: monitorare la conformità del ruolo assegnato tramite la portale di Azure o tramite la riga di comando.

Procedura consigliata: Criteri di Azure è una rappresentazione tecnica dei criteri scritti da un'organizzazione. Eseguire il mapping di tutte le definizioni di Criteri di Azure ai criteri aziendali per ridurre la confusione e aumentare la coerenza.
Dettagli: mapping dei documenti nella documentazione dell'organizzazione o nella definizione Criteri di Azure stessa aggiungendo un riferimento ai criteri dell'organizzazione nella definizione dei criteri o nella descrizione della definizione dell'iniziativa.

Monitorare i report sui rischi di Azure AD

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente. Trovare le identità compromesse non è un compito facile. Azure AD usa l'euristica e gli algoritmi adattivi di Machine Learning per rilevare azioni sospette correlate agli account dell'utente. Ogni azione sospetta rilevata viene archiviata in un record detto rilevamento di rischi. I rilevamenti di rischi vengono registrati nei report di sicurezza di Azure AD. Per altre informazioni, vedere il report sulla sicurezza degli utenti a rischio e il report di sicurezza di accesso rischioso.

Passaggi successivi

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati: