Baseline di sicurezza di Azure per Il servizio Machine Learning
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 al servizio Machine Learning. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili al servizio Machine Learning.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili al servizio Machine Learning sono state escluse. Per informazioni sul mapping completo del servizio Machine Learning al benchmark di sicurezza cloud Microsoft, vedere il file di mapping della baseline di base completo del servizio Machine Learning.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto del servizio Machine Learning, che possono causare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | AI+ML |
| Il cliente può accedere a HOST/SISTEMA operativo | Accesso completo |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia il contenuto del cliente inattivo | Falso |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Linee guida per la configurazione: usare isolamento network gestito per offrire un'esperienza di isolamento della rete automatizzata.
Nota: è anche possibile usare la rete virtuale per le risorse di Azure Machine Learning, ma diversi tipi di calcolo non sono supportati.
Informazioni di riferimento: Proteggere le risorse dell'area di lavoro di Azure Machine Learning usando reti virtuali (reti virtuali)
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Linee guida per la configurazione: usare isolamento network gestito per fornire un'esperienza di isolamento di rete automatizzata che include configurazioni in ingresso e in uscita tramite NSG.
Nota: usare gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Riferimento: Pianificare l'isolamento della rete
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato, per stabilire un punto di accesso privato per le risorse.
Riferimento: Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ip a livello di servizio o un commutatore di attivazione per l'accesso alla rete pubblica.
Riferimento: Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.MachineLearningServices:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| I calcoli di Azure Machine Learning devono trovarsi in una rete virtuale | Le reti virtuali di Azure offrono sicurezza e isolamento avanzato per i cluster e le istanze di calcolo di Azure Machine Learning, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un calcolo è configurato con una rete virtuale, non è accessibile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Audit, Disabled | 1.0.1 |
Gestione delle identità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Configurare l'autenticazione per le risorse e i flussi di lavoro di Azure Machine Learning
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Riferimento: Configurare l'autenticazione tra Azure Machine Learning e altri servizi
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Configurare l'autenticazione tra Azure Machine Learning e altri servizi
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Si considerino casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la necessità di dispositivi gestiti dall'organizzazione per applicazioni specifiche.
Riferimento: Usare l'accesso condizionale
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.
Informazioni di riferimento: Usare i segreti delle credenziali di autenticazione nei processi di Azure Machine Learning
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account di Amministrazione locali
Descrizione: il servizio ha il concetto di un account amministrativo locale. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli degli accessi in base al ruolo di Azure possono essere assegnati a utenti, gruppi, entità servizio e identità gestite.
Informazioni di riferimento: Gestire l'accesso a un'area di lavoro di Azure Machine Learning
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare strumenti come Azure Purview, Azure Information Protection e Azure SQL Individuazione dati e classificazione per analizzare in modo centralizzato, classificare ed etichettare i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 o in altre posizioni.
Informazioni di riferimento: Connettersi a e gestire Azure Machine Learning in Microsoft Purview
DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili
Funzionalità
Prevenzione della perdita/perdita dei dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: se necessario per la conformità della prevenzione della perdita di dati (DLP), è possibile usare una configurazione di protezione dell'esfiltrazione dei dati. L'isolamento della rete gestita supporta anche la protezione dell'esfiltrazione dei dati.
Informazioni di riferimento: Prevenzione dell'esfiltrazione dei dati di Azure Machine Learning
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure Machine Learning usa TLS per proteggere le comunicazioni interne tra vari microservizi di Azure Machine Learning. Tutti gli accessi di Archiviazione di Azure avvengono inoltre su un canale sicuro.
Per informazioni su come proteggere un endpoint online Kubernetes creato tramite Azure Machine Learning, vedere Configurare un endpoint online sicuro con TLS/SSL
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia in transito
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Dati inattivi crittografia tramite chiavi della piattaforma
Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Crittografia dei dati con Azure Machine Learning
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattiva tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Informazioni di riferimento: Chiavi gestite dal cliente per Azure Machine Learning
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.MachineLearningServices:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia inattivi dei dati dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente necessarie per soddisfare gli standard di conformità normativi. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Key Vault di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o quando si verifica un ritiro o un compromesso chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati separata (DEK) con la chiave di crittografia delle chiavi (KEK) nell'insieme di credenziali delle chiavi. Assicurarsi che le chiavi vengano registrate con Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) al servizio (ad esempio l'importazione di chiavi protette da HSM dalle macchine virtuali locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione iniziale e il trasferimento delle chiavi.
Informazioni di riferimento: Chiavi gestite dal cliente per Azure Machine Learning
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.
Informazioni di riferimento: Criteri di Azure definizioni di criteri predefinite per Azure Machine Learning
AM-5: Usare solo applicazioni approvate nella macchina virtuale
Funzionalità
Microsoft Defender per cloud - Controlli applicazioni adattivi
Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender per cloud. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: se si usano contenitori o cluster personalizzati per Azure Machine Learning, è necessario abilitare l'analisi delle risorse Registro Azure Container e servizio Azure Kubernetes tramite Microsoft Defender per cloud. Tuttavia, non è possibile usare Microsoft Defender per cloud nelle istanze di calcolo gestite di Azure Machine Learning o nei cluster di calcolo.
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Informazioni di riferimento: Monitorare Azure Machine Learning
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione della postura e della vulnerabilità.
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
Funzionalità
State Configuration di Automazione di Azure
Descrizione: è possibile usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Agente di configurazione guest Criteri di Azure
Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Microsoft Defender per Cloud e Criteri di Azure agente di configurazione guest per valutare e correggere regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri.
Immagini di macchine virtuali personalizzate
Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Immagini di contenitori personalizzati
Descrizione: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o compilare la linea di base di configurazione sicura desiderata nel modello di immagine del contenitore
Riferimento: Eseguire il training di un modello usando un'immagine Docker personalizzata
PV-5: Eseguire valutazioni delle vulnerabilità
Funzionalità
Valutazione della vulnerabilità con Microsoft Defender
Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per cloud o altri servizi di valutazione delle vulnerabilità incorporati di Microsoft Defender (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: l'installazione dell'agente defender per server non è attualmente supportata, ma Trivy può essere installato nelle istanze di calcolo per individuare le vulnerabilità a livello di pacchetto python e del sistema operativo.
Per altre informazioni, vedere: Gestione delle vulnerabilità per Azure Machine Learning
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PV-6: Correggere in modo rapido e automatico le vulnerabilità del software
Funzionalità
Automazione di Azure - Gestione aggiornamenti
Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: i cluster di calcolo vengono aggiornati automaticamente all'immagine di macchina virtuale più recente. Se il cluster è configurato con min nodes = 0, aggiorna automaticamente i nodi alla versione più recente dell'immagine della macchina virtuale al termine di tutti i processi e il cluster riduce a zero nodi.
Le istanze di calcolo ottengono le immagini della macchina virtuale più recenti al momento del provisioning. Microsoft rilascia nuove immagini di vm su base mensile. Una volta distribuita, un'istanza di calcolo non viene aggiornata attivamente. Per mantenere aggiornati gli aggiornamenti software e le patch di sicurezza più recenti, è possibile:
Ricreare un'istanza di calcolo per ottenere l'immagine del sistema operativo più recente (scelta consigliata)
In alternativa, aggiornare regolarmente i pacchetti del sistema operativo e Python.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Sicurezza degli endpoint
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza degli endpoint.
ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)
Funzionalità
Soluzione EDR
Descrizione: la funzionalità Rilevamento endpoint e risposta (EDR), ad esempio Azure Defender per server, può essere distribuita nell'endpoint. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
ES-2: Usare un software antimalware moderno
Funzionalità
Soluzione antimalware
Descrizione: funzionalità antimalware, ad esempio Microsoft Defender Antivirus, Microsoft Defender per endpoint possono essere distribuite nell'endpoint. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: ClamAV può essere usato per individuare il malware e viene preinstallato nell'istanza di calcolo.
Riferimento: Gestione delle vulnerabilità negli host di calcolo
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati
Funzionalità
Monitoraggio dell'integrità della soluzione antimalware
Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti automatici della piattaforma, del motore e della firma automatica. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: ClamAV può essere usato per individuare il malware e viene preinstallato nell'istanza di calcolo.
Backup e ripristino
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure