Condividi tramite


Baseline di sicurezza di Azure per Macchine virtuali - Windows Macchine virtuali

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Macchine virtuali - Windows Macchine virtuali. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili a Macchine virtuali - Windows Macchine virtuali.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Funzionalità non applicabili alle Macchine virtuali: Windows Macchine virtuali sono state escluse. Per informazioni su come Macchine virtuali - Windows Macchine virtuali esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedi il file di mapping completo Macchine virtuali della baseline di sicurezza di Windows Macchine virtuali.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Macchine virtuali - Windows Macchine virtuali, il che può comportare un aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Calcolo
Il cliente può accedere a HOST/sistema operativo Accesso completo
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia i contenuti dei clienti inattivi Vero

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Reti virtuali e macchine virtuali in Azure

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.

Quando si crea una macchina virtuale di Azure, è necessario creare una rete virtuale o usare una rete virtuale esistente e configurare la macchina virtuale con una subnet. Assicurarsi che tutte le subnet distribuite abbiano un gruppo di sicurezza di rete applicato con controlli di accesso di rete specifici per le porte e le origini attendibili delle applicazioni.

Riferimento: Gruppi di sicurezza di rete

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare i servizi a livello di sistema operativo, ad esempio Windows Defender Firewall per fornire filtri di rete per disabilitare l'accesso pubblico.

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Riferimento: Accedere a una macchina virtuale Windows in Azure usando Azure AD, incluso senza password

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: un account amministratore locale viene creato per impostazione predefinita durante la distribuzione iniziale della macchina virtuale. Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per l'autenticazione laddove possibile.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: l'identità gestita viene in genere usata dalla macchina virtuale Windows per eseguire l'autenticazione ad altri servizi. Se la macchina virtuale Windows supporta l'autenticazione di Azure AD, è possibile che sia supportata l'identità gestita.

Linee guida per la configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Entità servizio

Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: le entità servizio possono essere usate dalle applicazioni in esecuzione nella macchina virtuale Windows.

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi quando sono installate l'estensione Configurazione guest, ma non hanno un'identità gestita assegnata dal sistema. Per altre informazioni, vedere https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: usare Azure AD come piattaforma di autenticazione principale per RDP in Windows Server 2019 Datacenter Edition e versioni successive o Windows 10 1809 e versioni successive. È quindi possibile controllare e applicare centralmente il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali.

Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.

Riferimento: Accedere a una macchina virtuale Windows in Azure usando Azure AD, incluso senza password

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: all'interno del piano dati o del sistema operativo, i servizi possono chiamare Azure Key Vault per le credenziali o i segreti.

Linee guida per la configurazione: assicurarsi che i segreti e le credenziali siano archiviati in percorsi sicuri, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account Amministrazione locali

Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Guida introduttiva: Creare una macchina virtuale Windows nel portale di Azure

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: usare Azure AD come piattaforma di autenticazione principale per RDP in Windows Server 2019 Datacenter Edition e versioni successive o Windows 10 1809 e versioni successive. È quindi possibile controllare e applicare centralmente il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali.

Indicazioni sulla configurazione: con controllo degli accessi in base al ruolo specificare chi può accedere a una macchina virtuale come utente normale o con privilegi di amministratore. Quando gli utenti si uniscono al team, è possibile aggiornare i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale per concedere l'accesso in base alle esigenze. Quando i dipendenti lasciano l'organizzazione e gli account utente vengono disabilitati o rimossi da Azure AD, non hanno più accesso alle risorse.

Riferimento: Accedere a una macchina virtuale Windows in Azure usando Azure AD, incluso senza password

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, approvare o rifiutare le richieste di accesso ai dati di Microsoft.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili

Funzionalità

Prevenzione della perdita/perdita dei dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: alcuni protocolli di comunicazione, ad esempio SSH, vengono crittografati per impostazione predefinita. Tuttavia, altri servizi come HTTP devono essere configurati per l'uso di TLS per la crittografia.

Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui sono presenti dati nativi nella funzionalità di crittografia di transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che TLS v1.2 o versione successiva venga usato. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.

Riferimento: crittografia in transito nelle macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo crittografico standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni su una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Dati inattivi crittografia tramite chiavi della piattaforma

Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: per impostazione predefinita, i dischi gestiti usano chiavi di crittografia gestite dalla piattaforma. Tutti i dischi gestiti, gli snapshot, le immagini e i dati scritti in dischi gestiti esistenti vengono crittografati automaticamente inattivi con chiavi gestite dalla piattaforma.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Crittografia lato server di Archiviazione su disco di Azure - Chiavi gestite dalla piattaforma

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia in host o 2. la crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Archiviazione dischi di Azure: https://aka.ms/disksse, offerte di crittografia dischi diverse: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non sono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti questi dati. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede la distribuzione di due prerequisiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0-preview

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: è possibile scegliere di gestire la crittografia a livello di ogni disco gestito, con le proprie chiavi. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso.

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

I dischi virtuali in Macchine virtuali (VM) vengono crittografati inattivi usando la crittografia lato server o crittografia dischi di Azure. Crittografia dischi di Azure usa la funzionalità BitLocker di Windows per crittografare i dischi gestiti con le chiavi gestite dal cliente all'interno della macchina virtuale guest. La crittografia lato server con chiavi gestite dal cliente migliora la funzionalità Crittografia dischi di Azure poiché consente di usare qualsiasi tipo e immagine di sistema operativo per le macchine virtuali crittografando i dati nel servizio di archiviazione.

Riferimento: Crittografia lato server di Archiviazione su disco di Azure

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.

Riferimento: Creare e configurare un insieme di credenziali delle chiavi per Crittografia dischi di Azure in una macchina virtuale Windows

DP-7: Usare un processo di gestione dei certificati sicuro

Funzionalità

Gestione dei certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Criteri di Azure possono essere usate per definire il comportamento desiderato per le macchine virtuali Windows e Linux dell'organizzazione. Usando i criteri, un'organizzazione può applicare varie convenzioni e regole in tutta l'organizzazione e definire e implementare configurazioni di sicurezza standard per Azure Macchine virtuali. L'imposizione del comportamento desiderato consente di attenuare i rischi, contribuendo nello stesso tempo al successo dell'organizzazione.

Riferimento: Criteri di Azure definizioni predefinite per Azure Macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

AM-5: Usare solo applicazioni approvate nella macchina virtuale

Funzionalità

Microsoft Defender per il cloud - Controlli applicazioni adattivi

Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender for Cloud. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per i controlli applicazioni adattivi cloud per individuare le applicazioni in esecuzione in macchine virtuali (VM) e generare un elenco di applicazioni consentite per imporre quali applicazioni approvate possono essere eseguite nell'ambiente vm.

Riferimento: usare i controlli applicazioni adattivi per ridurre le superfici di attacco dei computer

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Defender per server estende la protezione ai computer Windows e Linux in esecuzione in Azure. Defender per server si integra con Microsoft Defender per endpoint per fornire il rilevamento e la risposta degli endpoint (EDR) e offre anche una serie di funzionalità di protezione dalle minacce aggiuntive, ad esempio baseline di sicurezza e valutazioni a livello di sistema operativo, analisi della valutazione delle vulnerabilità, controlli applicazioni adattivi (AAC), monitoraggio dell'integrità dei file e altro ancora.

Riferimento: Pianificare la distribuzione di Defender per server

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

LT-4: abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Monitoraggio di Azure avvia automaticamente la raccolta dei dati delle metriche per l'host della macchina virtuale quando si crea la macchina virtuale. Per raccogliere log e dati sulle prestazioni dal sistema operativo guest della macchina virtuale, tuttavia, è necessario installare l'agente di Monitoraggio di Azure. È possibile installare l'agente e configurare la raccolta usando informazioni dettagliate sulle macchine virtuali o creando una regola di raccolta dati.

Informazioni di riferimento: Panoramica dell'agente di Log Analytics

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview

Comportamento e gestione delle vulnerabilità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione del comportamento e della vulnerabilità.

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

Funzionalità

State Configuration di Automazione di Azure

Descrizione: Automazione di Azure State Configuration può essere usata per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo.

Riferimento: Configurare una macchina virtuale con Desired State Configuration

Agente di configurazione guest Criteri di Azure

Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: Criteri di Azure Configurazione guest è ora denominata Configurazione computer di gestione automatica di Azure.

Linee guida per la configurazione: usare Microsoft Defender per Cloud e Criteri di Azure agente di configurazione guest per valutare e correggere regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri.

Informazioni di riferimento: comprendere la funzionalità di configurazione del computer di Gestione automatica di Azure

Immagini di macchine virtuali personalizzate

Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o creare una linea di base di configurazione sicura desiderata nel modello di immagine della macchina virtuale

Riferimento: Esercitazione: Creare immagini di macchine virtuali Windows con Azure PowerShell

PV-4: Controllare e applicare le configurazioni sicure per le risorse di calcolo

Funzionalità

Macchina virtuale di avvio attendibile

Descrizione: l'avvio attendibile protegge da tecniche di attacco avanzate e persistenti combinando tecnologie di infrastruttura come l'avvio protetto, vTPM e il monitoraggio dell'integrità. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. L'avvio attendibile consente la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver e protegge in modo sicuro chiavi, certificati e segreti nelle macchine virtuali. L'avvio attendibile fornisce anche informazioni dettagliate e attendibili dell'integrità dell'intera catena di avvio e garantisce che i carichi di lavoro siano attendibili e verificabili. L'avvio attendibile è integrato con Microsoft Defender per cloud per garantire che le macchine virtuali siano configurate correttamente, attestando in remoto che la macchina virtuale viene avviata in modo integro. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Nota funzionalità: l'avvio attendibile è disponibile per le macchine virtuali di seconda generazione. L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.

Linee guida per la configurazione: è possibile abilitare l'avvio attendibile durante la distribuzione della macchina virtuale. Abilitare tutti e tre: Avvio protetto, vTPM e monitoraggio dell'avvio dell'integrità per garantire il comportamento di sicurezza ottimale per la macchina virtuale. Si noti che esistono alcuni prerequisiti, tra cui l'onboarding della sottoscrizione per Microsoft Defender for Cloud, l'assegnazione di determinate iniziative di Criteri di Azure e la configurazione dei criteri del firewall.

Riferimento: Distribuire una macchina virtuale con avvio attendibile abilitato

PV-5: Eseguire valutazioni delle vulnerabilità

Funzionalità

Valutazione della vulnerabilità con Microsoft Defender

Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per cloud o altri servizi di valutazione delle vulnerabilità incorporati di Microsoft Defender (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: seguire le indicazioni di Microsoft Defender for Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure.

Riferimento: Pianificare la distribuzione di Defender per server

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0

PV-6: Correggere in modo rapido e automatico le vulnerabilità del software

Funzionalità

Automazione di Azure - Gestione aggiornamenti

Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: usare Automazione di Azure Gestione aggiornamenti o una soluzione di terze parti per assicurarsi che gli aggiornamenti di sicurezza più recenti vengano installati nelle macchine virtuali Windows. Per le macchine virtuali Windows, assicurarsi che Windows Update sia stato abilitato e impostato per l'aggiornamento automatico.

Informazioni di riferimento: Gestire gli aggiornamenti e le patch per le macchine virtuali

Servizio patching guest di Azure

Descrizione: il servizio può usare Patch guest di Azure per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: i servizi possono sfruttare i diversi meccanismi di aggiornamento, ad esempio Aggiornamenti automatici dell'immagine del sistema operativo e Patch guest automatica. Le funzionalità sono consigliate per applicare gli aggiornamenti di sicurezza e critici più recenti al sistema operativo guest della macchina virtuale seguendo i principi di distribuzione sicura.

Patch guest automatico consente di valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità alla sicurezza con gli aggiornamenti critici e di sicurezza rilasciati ogni mese. Aggiornamenti vengono applicati durante le ore di punta, incluse le macchine virtuali all'interno di un set di disponibilità. Questa funzionalità è disponibile per l'orchestrazione flessibile vmSS, con il supporto futuro sulla roadmap per l'orchestrazione uniforme.

Se si esegue un carico di lavoro senza stato, gli aggiornamenti dell'immagine del sistema operativo automatico sono ideali per applicare l'aggiornamento più recente per l'uniforme vmSS. Con la funzionalità di rollback, questi aggiornamenti sono compatibili con le immagini di Marketplace o Personalizzate. Supporto dell'aggiornamento in sequenza futuro sulla roadmap per l'orchestrazione flessibile.

Informazioni di riferimento: Patch guest della macchina virtuale automatica per le macchine virtuali di Azure

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Gli aggiornamenti di sistema devono essere installati nelle macchine Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 4.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: gli aggiornamenti di sistema devono essere installati nei computer (basati su Update Center) Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. AuditIfNotExists, Disabled 1.0.0-preview

Sicurezza degli endpoint

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza degli endpoint.

ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)

Funzionalità

Soluzione EDR

Descrizione: la funzionalità di rilevamento degli endpoint e risposta (EDR), ad esempio Azure Defender per i server, può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: Azure Defender per i server (con Microsoft Defender per endpoint integrata) offre funzionalità EDR per impedire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per Cloud per distribuire Azure Defender per i server per l'endpoint e integrare gli avvisi alla soluzione SIEM, ad esempio Azure Sentinel.

Informazioni di riferimento: Pianificare la distribuzione di Defender per server

ES-2: Usare un software antimalware moderno

Funzionalità

Soluzione antimalware

Descrizione: funzionalità antimalware come Microsoft Defender Antivirus, Microsoft Defender per endpoint può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: per Windows Server 2016 e versioni successive, Microsoft Defender per Antivirus viene installato per impostazione predefinita. Per Windows Server 2012 R2 e versioni successive, i clienti possono installare SCEP (System Center Endpoint Protection). In alternativa, i clienti hanno anche la scelta di installare prodotti antimalware di terze parti.

Informazioni di riferimento: Defender per l'onboarding di Endpoint Windows Server

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati

Funzionalità

Monitoraggio dell'integrità della soluzione antimalware

Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti della piattaforma, del motore e delle firme automatiche. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: l'intelligence di sicurezza e gli aggiornamenti dei prodotti si applicano a Defender per endpoint che possono essere installati nelle macchine virtuali Windows.

Linee guida alla configurazione: configurare la soluzione antimalware per garantire che la piattaforma, il motore e le firme vengano aggiornate rapidamente e in modo coerente e il relativo stato può essere monitorato.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ClassicCompute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Backup e ripristino

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: abilitare Backup di Azure e configurare l'origine di backup (ad esempio Azure Macchine virtuali, SQL Server, database HANA o condivisioni file) in una frequenza desiderata e con un periodo di conservazione desiderato. Per Azure Macchine virtuali, è possibile usare Criteri di Azure per abilitare i backup automatici.

Informazioni di riferimento: Opzioni di backup e ripristino per le macchine virtuali in Azure

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0

Passaggi successivi