Condividi tramite


Baseline di sicurezza di Azure per soluzione Azure VMware

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a soluzione Azure VMware. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle soluzione Azure VMware.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili alle soluzione Azure VMware sono state escluse. Per informazioni su come soluzione Azure VMware mappa completamente al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza soluzione Azure VMware.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di soluzione Azure VMware, che possono causare un aumento delle considerazioni sulla sicurezza.

Attributo del comportamento del servizio Valore
Product Category Calcolo
Il cliente può accedere a HOST/SISTEMA operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia il contenuto del cliente inattivo Vero

Sicurezza di rete

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile) a meno che non esista un motivo sicuro per assegnare indirizzi IP pubblici direttamente alla risorsa.

Nota: un cloud privato soluzione Azure VMware richiede un Rete virtuale di Azure. Poiché soluzione Azure VMware non supporta il server vCenter locale, è necessario eseguire passaggi aggiuntivi per l'integrazione con l'ambiente locale. È necessaria anche la configurazione di un circuito ExpressRoute e un gateway di rete virtuale.

Riferimento: Esercitazione: Configurare la rete per il cloud privato VMware in Azure

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: anche se il gruppo di sicurezza di rete è supportato, prendere in considerazione l'ingresso e l'uscita della connettività di rete a ExpressRoute o ad altre reti protette. Evitare di esporre i servizi di gestione come vCenter Server, ad esempio su Internet.

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: concetti di rete e interconnessione soluzione Azure VMware

Gestione delle identità

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatorio per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Indicazioni sulla configurazione: per la configurazione della gestione dell'accesso alle identità della soluzione Azure VMware, vedere il collegamento seguente.

Informazioni di riferimento: accesso e identità del server vCenter

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: l'accesso AVS è controllato dal controllo degli accessi in base al ruolo VMware vSphere

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Integrazione e archiviazione di credenziali e segreti del servizio in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account di Amministrazione locali

Descrizione: il servizio ha il concetto di un account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Linee guida per la configurazione: visualizzare i privilegi concessi al ruolo soluzione Azure VMware CloudAdmin nel vCenter soluzione Azure VMware cloud privato. Per informazioni dettagliate, vedere il collegamento

Informazioni di riferimento: accesso e identità del server vCenter

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: il controllo degli accessi in base al ruolo di Azure non è supportato. La soluzione Azure VMware usa ruoli di controllo degli accessi in base al ruolo vCenter che offre ai clienti la possibilità di integrare con Azure AD.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-8: Determinare il processo di accesso per il supporto del provider cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-3: Crittografare i dati sensibili in transito

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati inattivi tramite chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Crittografia dei dati inattivi

DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite CMK

Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: questa funzionalità è attualmente in fase di lavoro, ma non è disponibile un ETA per l'anteprima privata.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-6: usare un processo di gestione delle chiavi sicuro

Funzionalità

Gestione delle chiavi in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-7: usare un processo di gestione sicura dei certificati

Funzionalità

Gestione certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: in futuro verranno aggiunte funzionalità specifiche che lo supportano, ma per il momento non lo facciamo.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: usare solo i servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: la soluzione AZURE VMWare supporta attualmente Criteri di Azure per gestire le risorse della macchina virtuale del carico di lavoro. Se si sceglie di distribuire la soluzione Azure Arc Server per VMWare, verrà offerta Criteri di Azure supporto.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare il server abilitato per Azure Arc per la macchina virtuale in VMware, che consente a Microsoft Defender per cloud di fornire le funzionalità seguenti:

  • Monitoraggio dell'integrità dei file
  • Rilevamento di attacco senza file
  • Valutazione delle patch del sistema operativo
  • Valutazione degli errori di configurazione della sicurezza
  • Valutazione della protezione endpoint

Riferimento: Integrare Microsoft Defender for Cloud con soluzione Azure VMware

LT-4: Abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: per la registrazione di soluzione Azure VMware. Abilitare la configurazione in Syslog VMware. Per altre informazioni, vedere il collegamento: Configurare syslog VMware per soluzione Azure VMware

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurarsi che i backup automatici regolari

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Backup di Azure Server (come parte di Backup di Azure) per eseguire il backup a livello di macchina virtuale. Backup di Azure Server può archiviare i dati di backup in: disco: per l'archiviazione a breve termine, Backup di Azure Server esegue il backup dei dati nei pool di dischi. Cloud di Azure: per l'archiviazione a breve termine e a lungo termine in locale, è possibile eseguire il backup dei dati del server Backup di Azure server archiviati nei pool di dischi nel cloud di Microsoft Azure usando Backup di Azure.

Riferimento: Configurare Backup di Azure Server per soluzione Azure VMware

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Distribuire il ripristino di emergenza con VMware Site Recovery Manager

Passaggi successivi