Baseline di sicurezza di Azure per Microsoft Fabric

Questa baseline di sicurezza integra le linee guida del benchmark di sicurezza del cloud di Microsoft versione 1.0 in Microsoft Fabric. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Microsoft Fabric.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Sicurezza di rete

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Sicurezza di rete.

NS-1: Stabilire limiti di segmentazione di rete

Indicazioni: creare e utilizzare endpoint privati gestiti per notebook, lakehouse e definizioni di processi Spark, per connettersi in modo sicuro alle origini dati nascoste dietro gli endpoint privati.

Responsabilità: Condiviso

NS-2: Proteggere i servizi nativi del cloud con controlli di rete

Indicazioni: Microsoft Fabric supporta la connessione del tenant di Fabric a un endpoint di collegamento privato e la disabilitazione dell'accesso a Internet pubblico

• Collegamenti privati per l'accesso sicuro a Fabric

NOTA: Microsoft Fabric è un servizio SaaS che si basa su Microsoft Entra ID come provider di autenticazione. Il controllo del traffico di rete in ingresso per un servizio SaaS può essere raggiunto usando i criteri di accesso condizionale di Microsoft Entra ID.

Responsabilità: Condiviso

NS-3: Implementare il firewall ai bordi della rete aziendale

Indicazioni: Microsoft Fabric come offerta SaaS ospitata nell'infrastruttura di Azure, Microsoft offre alcune protezioni automatiche integrate per vettori di attacco comuni noti.

Responsabilità: Microsoft

Sicurezza di rete 4: Distribuire sistemi di rilevamento/prevenzione intrusioni (IDS/IPS)

Indicazioni: Microsoft Fabric non dispone di funzionalità esplicite di rilevamento delle intrusioni di rete predefinite e sistemi di prevenzione delle intrusioni (IDS/IPS). Microsoft Fabric è un servizio Di base di Azure basato su servizi di base di Azure con alcune protezioni automatiche integrate per vettori di attacco comuni noti e opzioni configurabili dai clienti. Microsoft Fabric fornisce l'accesso ai log attività e di controllo che i clienti possono sfruttare per il monitoraggio delle attività:

• Tenere traccia delle attività degli utenti in Microsoft Fabric.

Responsabilità: Condiviso

NS-5: Distribuire la protezione DDoS

Indicazioni: Microsoft Fabric include una protezione DDoS predefinita per scenari di attacco comuni. Questi vengono gestiti e controllati da Microsoft.

Responsabilità: Microsoft

NS-6: Distribuire firewall per applicazioni web

Indicazioni: Microsoft Fabric ha un WAF predefinito gestito e controllato da Microsoft.

Responsabilità: Microsoft

NS-7: Semplificare la configurazione della sicurezza di rete [N/A]

Indicazioni: Non applicabile. Microsoft Fabric non espone le configurazioni sottostanti; queste impostazioni vengono gestite da Microsoft.

NS-8: rilevare e disabilitare i servizi e i protocolli non sicuri [N/A]

Indicazioni: Non applicabile. Microsoft Fabric non espone le configurazioni sottostanti; queste impostazioni vengono gestite da Microsoft.

NS-9: Connettere la rete locale o cloud privatamente

Indicazioni: Microsoft Fabric offre supporto per la rete virtuale e i gateway dati locali.

Responsabilità: Cliente

NS-10: Assicurare la sicurezza del DNS (Domain Name System) [N/A]

Indicazioni: Non applicabile. Microsoft Fabric non espone le configurazioni DNS sottostanti; queste impostazioni vengono gestite da Microsoft.

Gestione delle identità

Per altre informazioni, vedere Benchmark della sicurezza del cloud Microsoft - Gestione delle identità

IM-1: Usare un sistema centralizzato di identità e autenticazione

Indicazioni: Microsoft Fabric è integrato con Microsoft Entra ID , ovvero il servizio di gestione delle identità e degli accessi predefinito di Azure. È consigliabile standardizzare in Microsoft Entra ID per gestire l'identità e la gestione degli accessi dell'organizzazione.

La protezione dell'ID Microsoft Entra deve essere una priorità elevata nelle procedure di sicurezza cloud dell'organizzazione. Microsoft Entra ID fornisce un punteggio di sicurezza delle identità che consente di valutare il comportamento di sicurezza delle identità rispetto alle raccomandazioni sulle procedure consigliate di Microsoft. Usare il punteggio per misurare la frequenza con cui la configurazione corrisponde alle raccomandazioni sulle procedure consigliate e per apportare miglioramenti al comportamento di sicurezza.

Nota: Microsoft Entra ID supporta identità esterne che consentono agli utenti senza un account Microsoft di accedere alle applicazioni e alle risorse con la propria identità esterna. Per lo scenario dell'utente ospite di Microsoft Fabric, consultare la pagina B2B riportata di seguito.

• Tenuta in Microsoft Entra ID

• Come creare e configurare l'istanza di Microsoft Entra ID

• Provider di identità per ID esterno nei tenant della forza lavoro

• Informazioni sul punteggio di sicurezza delle identità

• Business to business - Microsoft Fabric | Microsoft Learn

Responsabilità: Cliente

IM-2: Proteggere i sistemi di identità e autenticazione

Indicazioni: proteggere l'identità e il sistema di autenticazione come priorità elevata nella pratica di sicurezza cloud dell'organizzazione. Usare la baseline di sicurezza di Microsoft Entra ID e il Secure Score dell'identità di Microsoft Entra ID per valutare la postura di sicurezza dell'identità di Microsoft Entra ID e correggere le lacune di sicurezza e configurazione.

• Guida alle operazioni di sicurezza di Microsoft Entra | Microsoft Learn

Responsabilità: Cliente

IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico

Indicazioni: usare le identità gestite anziché gli account umani per l'accesso alle risorse. Riducono l'esposizione delle credenziali e supportano la rotazione automatica delle credenziali per una maggiore sicurezza. Microsoft Fabric, Power BI e Power BI Embedded supportano l'uso delle identità dell'area di lavoro e delle entità servizio. Power BI Embedded supporta i profili dei principi di servizio.

• Identità dell'area di lavoro - Microsoft Fabric

• Automatizzare le attività nell'area di lavoro di Power BI Premium e nel modello semantico con i principali del servizio

• Usare i profili principali del servizio per gestire i dati dei clienti nelle app multitenant di Power BI

Responsabilità: Cliente

IM-4: Autenticare server e servizi

Indicazioni: autenticare i server remoti usando TLS per garantire connessioni attendibili. I client verificano i certificati del server dalle autorità attendibili. I clienti devono assicurarsi che i processi di inserimento dei dati siano adeguatamente protetti. Microsoft Fabric applica TLS 1.2+ a tutte le connessioni.

• Dati in transito

Responsabilità: Cliente

IM-5: Usare l'accesso Single Sign-On (SSO) per l'accesso alle applicazioni

Indicazioni: usare l'accesso Single Sign-On (SSO) per semplificare l'esperienza utente per l'autenticazione alle risorse, incluse le applicazioni e i dati nei servizi cloud e negli ambienti locali.

• Che cos'è l'autenticazione Single Sign-On? - Microsoft Entra ID

Microsoft Fabric usa Microsoft Entra ID per fornire la gestione delle identità e degli accessi alle risorse di Azure, alle applicazioni cloud e alle applicazioni locali. Sono incluse le identità aziendali, ad esempio i dipendenti, nonché le identità esterne, ad esempio partner, fornitori e fornitori. In questo modo l'accesso Single Sign-On (SSO) consente di gestire e proteggere l'accesso ai dati e alle risorse dell'organizzazione in locale e nel cloud.

Responsabilità: Cliente

IM-6: Usare controlli di autenticazione avanzata

Indicazioni: applicare controlli di autenticazione avanzata con il sistema di gestione centralizzato delle identità e dell'autenticazione per tutti gli accessi alle risorse.

• Come abilitare l'autenticazione a più fattori in Azure

• Introduzione alle opzioni di autenticazione senza password per Azure Active Directory

• Criteri password predefiniti di Microsoft Entra ID

• Eliminare le password non valida usando la protezione password di Microsoft Entra ID

• Bloccare l'autenticazione obsoleta

Microsoft Fabric si basa su Microsoft Entra ID per autenticare gli utenti (o le entità servizio). In caso di autenticazione, gli utenti ricevono token di accesso dall'ID Microsoft Entra.

• Nozioni fondamentali sulla sicurezza di Microsoft Fabric - Autenticazione

Responsabilità: Cliente

IM-7: Limitare l'accesso alle risorse in base alle condizioni

Indicazioni: convalidare in modo esplicito i segnali attendibili per consentire o negare l'accesso utente alle risorse, come parte di un modello di accesso senza attendibilità. L'accesso condizionale di Microsoft Entra ID garantisce che i tenant siano protetti applicando l'autenticazione a più fattori, consentendo solo ai dispositivi registrati in Intune di accedere a servizi specifici e limitando i percorsi utente e gli intervalli IP.

• Accesso condizionale - Microsoft Fabric

Responsabilità: Cliente

IM-8: limitare l'esposizione di credenziali e segreti

Indicazioni: un'identità dell'area di lavoro Fabric è un principal di servizio gestito senza credenziali che fornisce l'autenticazione per gli elementi di Fabric collegandoli con le risorse supportate da Microsoft Entra.

• Identità dell'area di lavoro - Microsoft Fabric

Per gli elementi di Microsoft Fabric è consigliabile implementare lo scanner di credenziali per identificare le credenziali all'interno del codice. Lo scanner di credenziali incoraggia anche lo spostamento delle credenziali individuate in posizioni più sicure, ad esempio Azure Key Vault.

• Analizzare gli elementi di Microsoft Fabric in Microsoft Purview

• Connettiti al tuo tenant di Microsoft Fabric nello stesso tenant di Microsoft Purview (anteprima)

Per GitHub, è possibile usare le funzionalità di analisi dei segreti native per identificare le credenziali o altre forme di segreti all'interno del codice.

• Analisi dei segreti di GitHub

• Usare i segreti di Azure Key Vault nelle attività della pipeline - Azure Data Factory | Microsoft Learn

Responsabilità: Cliente

IM-9: Proteggere l'accesso utente alle applicazioni esistenti

Guida: Microsoft Fabric supporta la connessione a origini dati locali tramite il gateway dati locale, trasferendo in modo sicuro i dati dall'ambiente locale a elementi di Fabric come Dataflow Gen2 e modelli semantici.

• Che cos'è un gateway dati locale? - Power BI

• Connettori della pipeline di dati in Microsoft Fabric

• Come accedere alle origini dati locali in Data Factory per Microsoft Fabric

Responsabilità: Cliente

Accesso con privilegi

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Accesso con privilegi | Microsoft Learn

PA-1: separare e limitare utenti con privilegi elevati/amministratori

Indicazioni: assicurarsi di identificare tutti gli account di impatto aziendale elevato di Microsoft Fabric, ad esempio Infrastruttura o Amministratori globali. Limitare il numero di account con privilegi/amministrativi nel piano di controllo di Microsoft Fabric, nel piano di gestione e nel piano dati/carico di lavoro. È necessario proteggere tutti i ruoli con accesso amministrativo diretto o indiretto. Prendere in considerazione l'uso di Privileged Identity Management (PIM) e dei principali di servizio con permessi specifici per le attività (ad esempio, l'accesso in sola lettura SPN alle API di amministrazione). Prestare cura e attenzione quando si delegano le impostazioni agli amministratori della capacità e dell'area di lavoro

• Introduzione alla gestione degli accessi con privilegi

• Abilitare l'autenticazione del principale servizio per le API amministrative in Microsoft Fabric

• Delegare le impostazioni del tenant - Microsoft Fabric

Responsabilità: Cliente

PA-2: Evitare l'accesso continuativo per gli account utente e le autorizzazioni [N/A]

Indicazioni: N/D

PA-3: Gestire il ciclo di vita delle identità e dei diritti

Indicazioni: usare un processo automatizzato o un altro controllo tecnico appropriato per monitorare e gestire le autorizzazioni di accesso al tenant e ai relativi elementi.

• Panoramica dell'analisi dei metadati - Microsoft Fabric | Microsoft Learn

• Modello di autorizzazione in Microsoft Fabric

Responsabilità: Cliente

PA-4: Esaminare e riconciliare regolarmente l'accesso degli utenti

Indicazioni: in qualità di amministratore del servizio Microsoft Fabric, è possibile analizzare l'utilizzo di tutte le risorse di Fabric a livello di tenant usando report personalizzati basati sulle attività o sui log di controllo di Microsoft 365. È possibile scaricare le attività usando un'API REST o un cmdlet di PowerShell. È anche possibile filtrare i dati dell'attività in base all'intervallo di date, all'utente e al tipo di attività.

Per accedere al log attività, è necessario soddisfare questi requisiti:

• È necessario essere un amministratore globale o un amministratore tenant del servizio Fabric.

• Sono stati installati i cmdlet di gestione di Power BI in locale o si usano i cmdlet di gestione di Power BI in Azure Cloud Shell.

Dopo aver soddisfatto questi requisiti, è possibile seguire le indicazioni seguenti per tenere traccia dell'attività degli utenti all'interno di Fabric:

• Tenere traccia delle attività degli utenti in Microsoft Fabric

Eseguire verifiche di accesso utente regolari per assicurarsi che le autorizzazioni siano impostate in modo appropriato in base alla funzione dell'utente e dell'azienda.

Responsabilità: Cliente

PA-5: Configurare l'accesso di emergenza [N/A]

Indicazioni: N/D

PA-6: Usare workstation ad accesso privilegiato

Indicazioni: le workstation protette e isolate sono fondamentali per la sicurezza di ruoli sensibili come amministratori, sviluppatori e operatori di servizi critici. Usare workstation utente altamente sicure e/o Azure Bastion per le attività amministrative correlate alla gestione di Microsoft Fabric. Usare Microsoft Entra ID, Microsoft Defender Advanced Threat Protection (ATP) e/o Microsoft Intune per distribuire una workstation utente sicura e gestita per le attività amministrative. Le workstation protette possono essere gestite centralmente per applicare la configurazione protetta, tra cui autenticazione avanzata, baseline software e hardware, accesso logico e di rete limitato.

Usare i criteri di accesso condizionale per applicare che gli accessi con privilegi elevati provengano solo da dispositivi conformi e da intervalli IP consentiti.

• Comprendere le postazioni di lavoro con accesso privilegiato

• Distribuire una workstation per l'accesso privilegiato

Responsabilità: Cliente

PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)

Indicazioni: seguire il principio di amministrazione (privilegi minimi) sufficiente per gestire le autorizzazioni a livello granulare. Usare funzionalità come il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse tramite assegnazioni di ruolo. Vedere il modello di autorizzazione in PA-3.

Responsabilità: Cliente

PA-8 Determinare il processo di accesso per il supporto del provider di servizi cloud

Indicazioni: stabilire un processo di approvazione e un percorso di accesso per richiedere e approvare le richieste di supporto del fornitore e l'accesso temporaneo ai dati tramite un canale sicuro. Negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare e approvare o rifiutare ogni richiesta di accesso ai dati effettuata da Microsoft.

• Lockbox per Microsoft Fabric

Responsabilità: Cliente

Protezione dei dati

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Protezione dei dati | Microsoft Learn

DP-1: individuare, classificare ed etichettare i dati sensibili

Indicazioni: usare le etichette di riservatezza di Microsoft Purview Information Protection sugli elementi di Microsoft Fabric per proteggere i contenuti sensibili da accessi e perdite di dati non autorizzati. Usare le etichette di riservatezza di Microsoft Purview Information Protection per classificare ed etichettare report, dashboard, set di dati, flussi di dati e altri elementi nel servizio Microsoft Fabric e proteggere il contenuto sensibile da accessi e perdite di dati non autorizzati quando il contenuto viene esportato da Microsoft Fabric in formati di file che supportano etichette come Excel, PowerPoint e file PDF.

• Come applicare le etichette di riservatezza in Power BI

• Applicare etichette di riservatezza agli elementi di Fabric

Responsabilità: Cliente

DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili

Indicazioni: usare i criteri di prevenzione della perdita dei dati di Microsoft Purview per rilevare il caricamento dei dati sensibili e attivare problemi di correzione automatica dei rischi.

• Informazioni sulla prevenzione della perdita di dati | Microsoft Learn

• Tenere traccia delle attività degli utenti in Power BI - Power BI | Microsoft Learn

• Responsabilità: Cliente

DP-3: Crittografare i dati sensibili in transito

Indicazioni: Assicurarsi che per il traffico HTTP, tutti i client e le origini dati che si connettono alle risorse di Microsoft Fabric possano negoziare TLS v1.2 o una versione successiva.

• Applicazione dell'utilizzo della versione TLS

• Informazioni sulla sicurezza TLS

Responsabilità: Cliente

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Indicazioni: Microsoft Fabric crittografa tutti i dati a riposo e durante il transito. Per impostazione predefinita, Microsoft Fabric usa chiavi gestite da Microsoft per crittografare i dati.

Responsabilità: Microsoft

DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Indicazioni: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria l'opzione chiave gestita dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando chiavi gestite dal cliente nel servizio Microsoft Fabric. Le organizzazioni possono scegliere di usare le proprie chiavi per la crittografia dei dati a riposo nei modelli semantici importati ospitati nelle aree di lavoro in funzionalità Premium.

• Usare chiavi di crittografia personalizzate per Power BI

• Crittografia della chiave gestita dal cliente (CMK) e Microsoft Fabric

Responsabilità: Cliente

DP-6: Usare un processo di gestione delle chiavi sicuro

Indicazioni: usare un servizio di gestione del vault delle chiavi sicuro per la generazione, la distribuzione e la conservazione delle chiavi. Ruotare e revocare le chiavi in base alla pianificazione definita come richiesto dagli standard applicabili e quando si verifica un ritiro o una compromissione chiave.

• Come generare e trasferire chiavi protette dal modulo di protezione hardware - BYOK - Azure Key Vault

NOTA: Power BI BYOK supporta l'importazione di chiavi HSM in AKV Premium.

Responsabilità: Cliente

DP-7: Usare un processo di gestione dei certificati sicuro [N/A]

Indicazioni: N/D

DP-8: Garantire la sicurezza del repository di chiavi e certificati [N/A]

Indicazioni: N/D

Gestione patrimoniale

Per ulteriori informazioni, vedere Benchmark della sicurezza cloud Microsoft - Gestione delle risorse | Microsoft Learn

AM-1: Tenere traccia dell'inventario delle risorse e dei relativi rischi

Indicazioni: come servizio SaaS, l'inventario fisico di hardware e dispositivi viene monitorato da Microsoft. Per il monitoraggio delle risorse di Fabric, usare l'API Fabric Scanner per configurare l'analisi dei metadati degli elementi fabric dell'organizzazione.

• Eseguire l'analisi dei metadati - Microsoft Fabric | Microsoft Learn

Responsabilità: Condiviso

AM-2: Usare solo i servizi approvati

Indicazioni: usare Criteri di Azure per controllare chi può effettuare il provisioning delle capacità di Fabric. Assicurarsi che solo i carichi di lavoro di Microsoft Fabric approvati possano essere usati nel tenant, controllando e limitando quali carichi di lavoro gli utenti possono creare e accedere nel tenant. Usare una combinazione di controlli delegati da admin per tenant, capacità o area di lavoro che forniscono questo livello di controllo.

• Come configurare e gestire Criteri di Azure

• Come negare un tipo di risorsa specifico con Criteri di Azure

• Impostazioni del tenant di Microsoft Fabric

• Delegare le impostazioni del tenant - Microsoft Fabric | Microsoft Learn

Responsabilità: Cliente

AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset

Indicazioni: stabilire o aggiornare criteri di sicurezza/processo che consentono di gestire i processi di gestione del ciclo di vita degli asset per modifiche potenzialmente ad alto impatto. Queste modifiche includono modifiche all'accesso, al livello di riservatezza dei dati, alla configurazione di rete e all'assegnazione dei privilegi amministrativi al tenant, alle capacità e alle aree di lavoro di Microsoft Fabric.

Identificare e rimuovere le risorse di Microsoft Fabric quando non sono più necessarie.

• Eliminare un gruppo di risorse e una risorsa di Azure

• API amministratore: GetUnusedArtifactsAsAdmin

Responsabilità: Cliente

AM-4: Limitare l'accesso alla gestione degli asset

Indicazioni: usare il principio dei privilegi minimi quando si assegnano autorizzazioni utente a tenant, aree di lavoro e artefatti. Assicurarsi che il numero di utenti con ruoli con privilegi elevati sia limitato. Limitare l'accesso degli utenti alle funzionalità di gestione di Microsoft Fabric per evitare modifiche accidentali o dannose degli elementi nel tenant di Microsoft Fabric.

• Che cos'è l'amministrazione di Microsoft Fabric? - Microsoft Fabric | Microsoft Learn

• Impostazioni di amministrazione dell'area di lavoro - Microsoft Fabric | Microsoft Learn

• Gestire la capacità di Microsoft Fabric - Microsoft Fabric | Microsoft Learn

• Ruoli nelle aree di lavoro in Microsoft Fabric - Microsoft Fabric | Microsoft Learn

• Gestire i ruoli di sicurezza | Microsoft Learn

Responsabilità: Cliente

AM-5: Usare solo le applicazioni approvate nella macchina virtuale [N/A]

Indicazioni: N/D

Registrazione e rilevamento delle minacce

Per altre informazioni, Benchmark della sicurezza cloud Microsoft - Registrazione e rilevamento delle minacce | Microsoft Learn

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Indicazioni: per supportare gli scenari di rilevamento delle minacce, monitorare tutti i tipi di risorse noti per minacce e anomalie note e previste. Configurare le regole di filtro e analisi degli avvisi per estrarre avvisi di alta qualità da dati di log, agenti o altre origini dati per ridurre i falsi positivi. L'attività e la registrazione di Microsoft 365 nel tenant di Microsoft Fabric sono abilitate per impostazione predefinita.

• Avvisi e criteri di avviso di Microsoft Purview Compliance Manager

• Considerazioni su DSPM per l'IA e la sicurezza dei dati e le protezioni di conformità per Copilot

Responsabilità: Cliente

LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi di Azure

Indicazioni: inoltrare tutti i log di Microsoft Fabric al sistema SIEM che può essere usato per configurare rilevamenti di minacce personalizzati. Usare anche i controlli di Microsoft Defender for Cloud Apps in Power BI per abilitare il rilevamento anomalie seguendo la guida Uso dei controlli di Microsoft Defender for Cloud Apps in Power BI.

• Tenere traccia delle attività degli utenti in Power BI

• Trovare il connettore dati di Microsoft Sentinel

Responsabilità: Cliente

LT-3: Abilitare la registrazione per l'analisi della sicurezza

Indicazioni: i log attività e di controllo in Microsoft Fabric sono abilitati per impostazione predefinita. Sono disponibili opzioni di registrazione e monitoraggio aggiuntive e configurabili a livello di area di lavoro per asset di valore elevato.

• Che cos'è l'area di lavoro di monitoraggio amministrativo?

• Panoramica del monitoraggio dell'area di lavoro in Microsoft Fabric

• Uso di Azure Log Analytics in Power BI

Responsabilità: Cliente

LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza

Indicazioni: Microsoft Fabric è un'offerta SaaS completamente gestita e la configurazione e la registrazione di rete sottostanti sono responsabilità di Microsoft. Per i clienti che usano collegamenti privati, è disponibile una registrazione e un monitoraggio che possono essere configurati.

• Registrazione e monitoraggio dei collegamenti privati

Responsabilità: Condiviso

LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza

Indicazioni: Microsoft Fabric centralizza i log in due posizioni: il log attività di Power BI e il log di controllo unificato. Questi log contengono entrambe una copia completa dei dati di controllo di Microsoft Fabric, ma esistono diverse differenze principali, come riepilogato di seguito.

Log di controllo unificato:

• Include eventi di SharePoint Online, Exchange Online, Dynamics 365 e altri servizi oltre agli eventi di controllo di Power BI e Microsoft Fabric.

• Solo gli utenti con autorizzazioni di log di controllo View-Only o log di controllo hanno accesso, come gli amministratori globali e i revisori.

• Gli amministratori globali e i revisori possono eseguire ricerche nel log di controllo unificato usando il portale di Microsoft Defender XDR e il portale di Microsoft Purview.

• Gli amministratori globali e i revisori possono scaricare le voci del log di controllo usando le API e i cmdlet di gestione di Microsoft 365.

• Mantiene i dati di controllo per 180 giorni.

• Mantiene i dati di controllo, anche se il tenant viene spostato in un'area di Azure diversa.

Log attività di Power BI:

• Include solo gli eventi di controllo di Microsoft Fabric e Power BI.

• Gli amministratori globali e gli amministratori del servizio Microsoft Fabric hanno accesso.

• Gli amministratori globali e gli amministratori del servizio Microsoft Fabric possono scaricare le voci del log attività usando un'API REST di Power BI e un cmdlet di gestione.

• Mantiene i dati delle attività per 30 giorni.

• Non conserva i dati delle attività quando il tenant viene spostato in un'area di Azure diversa.

Per altre informazioni, consultare i riferimenti seguenti:

• Elenco operazioni in Microsoft Fabric

• Tenere traccia delle attività degli utenti in Microsoft Fabric

Responsabilità: Cliente

LT-6: Configurare la conservazione dell'archiviazione dei log

Indicazioni: configurare i criteri di conservazione delle risorse di archiviazione per i log di controllo in base ai requisiti di conformità, normative e aziendali.

• Gestire i criteri di conservazione dei log di controllo

Responsabilità: Cliente

LT-7: Usare origini di sincronizzazione dell'ora approvate

Indicazioni: Microsoft Fabric non supporta la configurazione delle proprie origini di sincronizzazione dell'ora. Il servizio Microsoft Fabric si basa sulle origini di sincronizzazione dell'ora Microsoft e non viene esposto ai clienti per la configurazione.

Responsabilità: Microsoft

Risposta agli eventi imprevisti

Benchmark della sicurezza del cloud Microsoft - Risposta agli eventi imprevisti | Microsoft Learn

IR-1: Preparazione - Aggiornare il piano di risposta agli eventi imprevisti e il processo di gestione

Indicazioni: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti in Microsoft Fabric. In base ai carichi di lavoro di Microsoft Fabric usati e alle applicazioni che si basano su Microsoft Fabric, personalizzare il piano di risposta agli eventi imprevisti e il playbook per assicurarsi che possano essere usati per rispondere all'evento imprevisto nell'ambiente cloud.

• Implementare la sicurezza nell'ambiente aziendale

• Guida di riferimento alla risposta agli eventi imprevisti

• Guida alla gestione degli eventi imprevisti per la sicurezza dei computer NIST SP800-61

• Panoramica della risposta agli eventi imprevisti

Responsabilità: Cliente

IR-2: Preparazione - Configurare la notifica dell'evento imprevisto

Indicazioni: configurare le informazioni di contatto per gli eventi imprevisti di sicurezza in Microsoft Defender for Cloud. Queste informazioni di contatto vengono usate da Microsoft per contattare l'utente se Microsoft Security Response Center (MSRC) rileva che i dati sono stati accessibili da una parte illecita o non autorizzata. Sono disponibili anche opzioni per personalizzare gli avvisi e le notifiche degli eventi imprevisti in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.

• Come impostare il contatto di sicurezza di Microsoft Defender for Cloud

Responsabilità: Cliente

IR-3: Rilevamento e analisi - Creare eventi imprevisti basati su avvisi di alta qualità

Indicazioni: Microsoft Defender for Cloud fornisce avvisi di alta qualità in molti asset di Azure. È possibile usare il connettore dati di Microsoft Defender for Cloud per trasmettere gli avvisi a Microsoft Sentinel. Microsoft Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'indagine.

Esportare gli avvisi e le raccomandazioni di Microsoft Defender for Cloud usando la funzionalità di esportazione per identificare i rischi per Microsoft Fabric e altre risorse di Azure. Esportare avvisi e raccomandazioni manualmente o in modo continuo.

• Come configurare l'esportazione

• Come trasmettere gli avvisi in Microsoft Sentinel

Responsabilità: Cliente

IR-4: Rilevamento e analisi - Analizzare un evento imprevisto

Indicazioni: Come accedere e utilizzare i log di attività e di controllo di Microsoft Fabric, abilitati per impostazione predefinita. Abilitare la registrazione facoltativa per gli asset di valore elevato (vedere LT-3). Valutare la possibilità di esportare i log in Microsoft Sentinel. Sfruttare i log forniti dai servizi che Microsoft Fabric si integra con, ad esempio Microsoft Entra ID. NOTA: non si tiene traccia dell'accesso dell'utente a Power BI o Fabric nei log attività; i log di controllo acquisiscono gli accessi al servizio. La categoria Tipo di record è diversa, ad esempio usare PowerBIAudit per gli eventi di Power BI e Microsoft Fabric e AzureActiveDirectoryStsLogon per tenere traccia degli account di accesso al servizio.

• Analizzare gli eventi imprevisti con Microsoft Sentinel

• Informazioni sui dettagli dell'attività del registro di accesso - Microsoft Entra ID | Microsoft Learn

• Eseguire ricerche nel log di controllo

• Configurare gli indicatori dei criteri nella gestione dei rischi Insider

Responsabilità: Cliente

IR-5: Rilevamento e analisi - Assegnare la priorità agli eventi imprevisti

Indicazioni: Microsoft Defender for Cloud assegna una gravità a ogni avviso per consentire di classificare in ordine di priorità gli avvisi da analizzare per primi. La gravità si basa sul livello di attendibilità di Microsoft Defender for Cloud nell'individuazione o nell'analisi usata per generare l'avviso, nonché sul livello di attendibilità che si è verificato un intento dannoso dietro l'attività che ha portato all'avviso.

Analogamente, Microsoft Sentinel crea avvisi ed eventi imprevisti con una gravità assegnata e altri dettagli in base alle regole di analisi. Usare i modelli di regola analitici e personalizzare le regole in base alle esigenze dell'organizzazione per supportare la definizione delle priorità degli eventi imprevisti. Usare le regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce per ottimizzare l'efficienza e l'efficacia del team dell'operazione di sicurezza, tra cui l'assegnazione di tag agli eventi imprevisti per classificarli.

• Avvisi di sicurezza in Microsoft Defender for Cloud

• Creare incidenti da avvisi di sicurezza Microsoft

Responsabilità: Cliente

IR-6: Indipendenza, eliminazione e ripristino: automatizzazione della gestione degli eventi imprevisti

Indicazioni: usare le funzionalità di automazione del flusso di lavoro in Microsoft Defender for Cloud e Microsoft Sentinel per attivare automaticamente le azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso. I playbook eseducono azioni, ad esempio l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.

Implementazione di Azure e contesto aggiuntivo:

• Configurare l'automazione del flusso di lavoro nel Centro sicurezza

• Configurare risposte automatiche alle minacce in Microsoft Defender for Cloud

• Configurare risposte automatiche alle minacce in Microsoft Sentinel

Responsabilità: Cliente

IR-7: attività post-evento imprevisto - Condurre lezioni apprese e conservare le prove

Indicazioni: usare i risultati dall'attività di lezioni apprese per aggiornare il piano di risposta agli incidenti, il playbook (come un playbook di Microsoft Sentinel) e reincorporare i risultati nei propri ambienti (ad esempio il log e il rilevamento delle minacce per risolvere eventuali lacune nei log) per migliorare le capacità future nel rilevare, rispondere e gestire gli incidenti in Microsoft Fabric.

Conservare le prove raccolte durante il passaggio "Rilevamento e analisi- analizzare un evento imprevisto", ad esempio i log nell'archiviazione, ad esempio un account di archiviazione di Azure per la conservazione non modificabile.

• Processo di risposta agli eventi imprevisti - Pulizia post-evento imprevisto

Responsabilità: Cliente

Gestione del comportamento e delle vulnerabilità

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Comportamento e gestione delle vulnerabilità | Microsoft Learn

PV-1: Definire e stabilire le configurazioni sicure

Indicazioni: usare la baseline Microsoft Fabric Microsoft Cloud Security Benchmark per definire la baseline di configurazione per ogni carico di lavoro. Fare riferimento alla documentazione sulla sicurezza di Microsoft Fabric per comprendere i controlli di sicurezza e le configurazioni che potrebbero essere necessari nelle risorse di Microsoft Fabric.

• Sicurezza di Microsoft Fabric

Responsabilità: Cliente

PV-2: Controllare e applicare configurazioni sicure

Indicazioni: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Microsoft Fabric Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse.

Usare Azure Policy, ad esempio le regole di tipo [deny], per applicare configurazioni sicure tra le risorse di Azure.

Per l'audit e la conformità delle configurazioni delle risorse non supportati da Criteri di Azure, potrebbe essere necessario scrivere script personalizzati o utilizzare strumenti di terze parti per implementare l'audit e la conformità delle configurazioni. Monitorare l'istanza di Microsoft Fabric usando le API REST di amministrazione.

• Comprendere gli effetti dei Criteri di Azure

• Creare e gestire criteri per applicare la conformità

• Ottenere i dati di conformità delle risorse di Azure

• Amministratore - API REST (API REST di Power BI)

• API REST di Microsoft Fabric per l'automazione

Responsabilità: Cliente

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

Indicazioni: assicurarsi che solo il personale autorizzato possa effettuare il provisioning, gestire e accedere alle risorse di calcolo di Microsoft Fabric, ad esempio i processi Spark. In caso contrario, Microsoft Fabric è un'offerta SaaS completamente gestita, le risorse di calcolo sottostanti del servizio sono protette e gestite da Microsoft.

• Raccomandazione di configurazione della sicurezza per le risorse di calcolo

Responsabilità: Condiviso

PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo

Indicazioni: Microsoft Fabric è un'offerta SaaS completamente gestita, le risorse di calcolo sottostanti del servizio sono protette e gestite da Microsoft.

Responsabilità: Microsoft

PV-5: Eseguire valutazioni delle vulnerabilità

Linee guida: i team di sicurezza Microsoft, i fornitori di terze parti e i team di progettazione eseguono regolari test di vulnerabilità rigorosi e valutazione dei prodotti e dei servizi di Microsoft Fabric in base ai requisiti degli standard di certificazione e delle procedure SDL. I clienti possono scegliere di eseguire una valutazione delle proprie vulnerabilità per le risorse di Microsoft Fabric a tutti i livelli in base a una pianificazione fissa o su richiesta.

• Regole di engagement per i test di penetrazione del cloud Microsoft

Responsabilità: Microsoft

PV-6: correggere rapidamente e automaticamente le vulnerabilità

Indicazioni: Microsoft Fabric è un'offerta SaaS completamente gestita, le risorse di calcolo sottostanti del servizio vengono analizzate e gestite da Microsoft.

Responsabilità: Microsoft

PV-7: Condurre normali operazioni del team rosso

Indicazioni: come richiesto, eseguire test di penetrazione o attività red team sull'implementazione e l'uso delle risorse di Microsoft Fabric e garantire la correzione di tutti i risultati critici della sicurezza. Come offerta SaaS completamente gestita, Microsoft Fabric esegue test di penetrazione regolari; tuttavia le implementazioni dei clienti sono responsabilità del cliente di proteggere.

Seguire le regole di coinvolgimento dei test di penetrazione microsoft cloud per assicurarsi che i test di penetrazione non siano in violazione dei criteri Microsoft. Usa la strategia e l'esecuzione di Red Teaming e test di penetrazione su siti operativi in tempo reale per l'infrastruttura, i servizi e le applicazioni cloud gestiti da Microsoft.

• Regole di coinvolgimento per i test di penetrazione

• Microsoft Cloud Red Teaming

• Guida tecnica ai test e alla valutazione della sicurezza delle informazioni

Responsabilità: Condiviso

Sicurezza degli endpoint

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Sicurezza degli endpoint | Microsoft Learn

Indicazioni: Microsoft Fabric non distribuisce risorse di calcolo rivolte ai clienti che richiederebbero ai clienti di configurare la protezione di rilevamento e risposta degli endpoint. L'infrastruttura sottostante per Microsoft Fabric viene gestita da Microsoft, che include la gestione di antimalware ed EDR.

Per altre informazioni, vedere Azure Security Benchmark: Sicurezza di rete

Responsabilità: Microsoft

Backup e ripristino

Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft - Backup e ripristino | Microsoft Learn

BR-1: Garantire backup automatici regolari

Indicazioni: Power BI è un servizio completamente gestito con funzionalità integrate. Sono disponibili opzioni di backup aggiuntive per gli asset di Power BI ad alto valore. Sono disponibili anche opzioni di backup di Microsoft Fabric più ampie: affidabilità in Microsoft Fabric | Microsoft Learn.

Fabric fornisce indicazioni specifiche dell'esperienza per il backup e il ripristino di emergenza dei dati e dei processi archiviati all'interno e all'esterno di OneLake.

Quando i dati vengono archiviati in OneLake: Fabric offre la replica tra aree per i dati archiviati in OneLake. I clienti possono acconsentire esplicitamente o rifiutare questa funzionalità in base ai requisiti di ridondanza geografica. In uno scenario di emergenza a livello di area Fabric garantisce l'accesso ai dati, con alcune limitazioni. Mentre la creazione o la modifica di nuovi elementi è limitata dopo il failover, l'obiettivo principale rimane quello di garantire che i dati esistenti in OneLake rimangano accessibili e intatti. Fabric fornisce un set strutturato di istruzioni per guidare i clienti attraverso il processo di ripristino per i dati.

Quando i dati vengono archiviati all'esterno di OneLake: i clienti devono copiare i dati e i processi critici archiviati all'esterno di OneLake in un'altra area in modo da allinearsi al piano di ripristino di emergenza.

Power BI include il ripristino di emergenza di default, senza bisogno di alcuna attivazione. Power BI utilizza la replicazione con ridondanza geografica dell'archiviazione di Azure e la replicazione con ridondanza geografica di Azure SQL per garantire che le istanze di backup esistano in altre regioni per una maggiore disponibilità e un rischio ridotto. Durante le interruzioni, gli elementi di Power BI (modelli semantici, report, dashboard) rimangono accessibili in modalità di sola lettura, supportando l'analisi e il processo decisionale in corso.

• Indicazioni specifiche sull'esperienza per il backup e il ripristino di emergenza

• Come eseguire il backup e il ripristino di modelli semantici di Power BI Premium

BR-2: Proteggere i dati di backup e ripristino

Linee guida: Power BI è un servizio completamente gestito con bcdr predefinito gestito da Microsoft. Fabric fornisce un set strutturato di istruzioni per guidare i clienti attraverso il processo di ripristino per i dati.

• Linee guida specifiche per il ripristino di emergenza di Microsoft Fabric

• Affidabilità in Microsoft Fabric

Responsabilità: Condiviso

BR-3: Monitorare i backup

Linee guida: Power BI è un servizio completamente gestito con bcdr predefinito gestito da Microsoft. I backup degli elementi di Power BI e Microsoft Fabric configurati dal cliente devono essere gestiti e monitorati dal cliente.

Responsabilità: Condiviso

BR-4: testare regolarmente il backup

Linee guida: Power BI è un servizio completamente gestito con bcdr predefinito gestito da Microsoft. Il team di progettazione Microsoft esegue test BCDR regolari; i clienti non potranno simulare l'evento BCDR e testare i backup di proprietà di Microsoft dei dati del tenant. I backup creati e di proprietà dei clienti, ad esempio i backup semantici creati dal cliente e dai backup degli elementi di Microsoft Fabric, sono responsabilità del cliente.

Responsabilità: Condiviso