Condividi tramite


Baseline di sicurezza di Azure per set di scalabilità di macchine virtuali

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a set di scalabilità di macchine virtuali. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle set di scalabilità di macchine virtuali.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili alle set di scalabilità di macchine virtuali sono state escluse. Per informazioni su come set di scalabilità di macchine virtuali esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza set di scalabilità di macchine virtuali.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di set di scalabilità di macchine virtuali, con conseguente aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Calcolo
Il cliente può accedere a HOST/sistema operativo Accesso completo
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia i contenuti dei clienti inattivi Vero

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Reti virtuali e macchine virtuali in Azure

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.

Quando si crea una macchina virtuale di Azure, è necessario creare una rete virtuale o usare una rete virtuale esistente e configurare la macchina virtuale con una subnet. Assicurarsi che tutte le subnet distribuite abbiano un gruppo di sicurezza di rete applicato con controlli di accesso di rete specifici per le porte e le origini attendibili delle applicazioni.

Riferimento: Gruppi di sicurezza di rete

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: i servizi installati con il sistema operativo possono essere usati per fornire filtri di rete per disabilitare l'accesso alla rete pubblica.

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati. Azure AD protegge i dati usando la crittografia avanzata per i dati inattivi e in transito. Azure AD effettua anche il salting, aggiunge hash e archivia in modo sicuro le credenziali utente. È possibile usare le identità gestite per eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Azure AD, tra cui Key Vault, senza credenziali nel codice. Il codice in esecuzione in una macchina virtuale può usare l'identità gestita per richiedere i token di accesso per i servizi che supportano l'autenticazione di Azure AD.

Riferimento: Implementazione dell'aggiunta ad Azure AD

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Informazioni di riferimento: Identità gestite per le risorse di Azure

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: le entità servizio possono essere usate dalle applicazioni in esecuzione in set di scalabilità di macchine virtuali.

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando hanno l'estensione Configurazione guest installata, ma non hanno un'identità gestita assegnata dal sistema. Altre informazioni su https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: all'interno del piano dati o del sistema operativo, i servizi possono chiamare Azure Key Vault per le credenziali o i segreti.

Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.

Accesso con privilegi

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account di Amministrazione locali

Descrizione: il servizio ha il concetto di un account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Creare macchine virtuali in un set di scalabilità usando portale di Azure

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli degli accessi in base al ruolo di Azure possono essere assegnati a utenti, gruppi, entità servizio e identità gestite.

Riferimento: Ruolo predefinito per collaboratore macchina virtuale

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.

Protezione dei dati

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili

Funzionalità

Perdita di dati/Prevenzione della perdita di dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: alcuni protocolli di comunicazione, ad esempio SSH, sono crittografati per impostazione predefinita. Tuttavia, i servizi come RDP o HTTP devono essere configurati per l'uso di TLS per la crittografia.

Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità di crittografia nativa dei dati in transito incorporata. Applicare HTTPS a qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.

Riferimento: crittografia in transito nelle macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati inattivi tramite chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: oltre alla crittografia standard con chiavi gestite dalla piattaforma, i clienti sensibili alla sicurezza elevata interessati al rischio associato a un particolare algoritmo di crittografia, implementazione o chiave compromessa possono ora optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma e chiavi gestite dal cliente. Questo nuovo livello può essere applicato a dischi dati e sistemi operativi persistenti, snapshot e immagini, tutti crittografati inattivi con doppia crittografia.

Per altre informazioni, visitare: Crittografia doppia dei dati inattivi.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Crittografia dischi di Azure per set di scalabilità di macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non sono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti questi dati. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede la distribuzione di due prerequisiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0-preview

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

I dischi virtuali in Macchine virtuali (VM) vengono crittografati inattivi usando la crittografia lato server o crittografia dischi di Azure. Crittografia dischi di Azure sfrutta la funzionalità DM-Crypt di Linux per crittografare i dischi gestiti con chiavi gestite dal cliente all'interno della macchina virtuale guest. La crittografia lato server con chiavi gestite dal cliente migliora la funzionalità Crittografia dischi di Azure poiché consente di usare qualsiasi tipo e immagine di sistema operativo per le macchine virtuali crittografando i dati nel servizio di archiviazione.

Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso. È necessario usare Azure Key Vault o Azure Key Vault Managed Hardware Security Module (HSM) per archiviare le chiavi gestite dal cliente.

È possibile importare le proprie chiavi RSA nel proprio insieme di credenziali delle chiavi o generare nuove chiavi RSA in Azure Key Vault. I dischi gestiti di Azure gestiscono la crittografia e la decrittografia in modo completamente trasparente usando la crittografia envelope. I dati vengono crittografati usando una chiave di crittografia dei dati (DEK) basata su AES 256 che è a sua volta protetta tramite le chiavi del cliente. Il servizio di archiviazione genera chiavi di crittografia dei dati e le crittografa con le chiavi gestite dal cliente usando la crittografia RSA. La crittografia envelope consente di ruotare (cambiare) periodicamente le chiavi in base ai criteri di conformità senza influire sulle macchine virtuali. Quando si ruotano le chiavi, il servizio di archiviazione esegue nuovamente la crittografia delle chiavi di crittografia dei dati con le nuove chiavi gestite dal cliente.

Managed Disks e il modulo di protezione hardware gestito o Key Vault devono trovarsi nella stessa area di Azure, ma possono trovarsi in sottoscrizioni diverse. Devono anche trovarsi nello stesso tenant di Azure Active Directory (Azure AD), a meno che non si crittografi i dischi gestiti con chiavi gestite dal cliente tra tenant.

Riferimento: Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.

Riferimento: Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Criteri di Azure possono essere usate per definire il comportamento desiderato per le macchine virtuali Windows e Linux dell'organizzazione. Usando i criteri, un'organizzazione può applicare diverse convenzioni e regole in tutta l'organizzazione e definire e implementare configurazioni di sicurezza standard per Azure set di scalabilità di macchine virtuali. L'imposizione del comportamento desiderato consente di attenuare i rischi, contribuendo nello stesso tempo al successo dell'organizzazione.

Riferimento: definizioni di Criteri di Azure predefinite per set di scalabilità di macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

AM-5: Usare solo applicazioni approvate nella macchina virtuale

Funzionalità

Microsoft Defender per il cloud - Controlli applicazioni adattivi

Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender for Cloud. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per i controlli applicazioni adattivi cloud per individuare le applicazioni in esecuzione in macchine virtuali (VM) e generare un elenco di applicazioni consentite per imporre quali applicazioni approvate possono essere eseguite nell'ambiente vm.

Riferimento: usare i controlli applicazioni adattivi per ridurre le superfici di attacco dei computer

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Defender per server estende la protezione ai computer Windows e Linux in esecuzione in Azure. Defender per server si integra con Microsoft Defender per endpoint per fornire il rilevamento degli endpoint e la risposta (EDR) e offre anche una serie di funzionalità di protezione delle minacce aggiuntive, ad esempio le baseline di sicurezza e le valutazioni a livello di sistema operativo, l'analisi della valutazione della vulnerabilità, i controlli applicazioni adattivi (AAC), il monitoraggio dell'integrità dei file (FIM) e altro ancora.

Informazioni di riferimento: Panoramica delle Microsoft Defender per i server

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

LT-4: abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Monitoraggio di Azure avvia automaticamente la raccolta dei dati delle metriche per l'host della macchina virtuale quando si crea la macchina virtuale. Per raccogliere log e dati sulle prestazioni dal sistema operativo guest della macchina virtuale, tuttavia, è necessario installare l'agente di Monitoraggio di Azure. È possibile installare l'agente e configurare la raccolta usando informazioni dettagliate sulla macchina virtuale o creando una regola di raccolta dati.

Informazioni di riferimento: Panoramica dell'agente di Log Analytics

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview

Comportamento e gestione delle vulnerabilità

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione della postura e della vulnerabilità.

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

Funzionalità

State Configuration di Automazione di Azure

Descrizione: è possibile usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. Automazione di Azure State Configuration è un servizio di gestione della configurazione di Azure che consente di scrivere, gestire e compilare configurazioni di PowerShell Desired State Configuration (DSC) per i nodi.

State Configuration di Automazione di Azure offre diversi vantaggi rispetto all'uso di DSC all'esterno di Azure. Questo servizio consente la scalabilità tra migliaia di macchine in modo rapido e semplice da una posizione centrale e sicura. È possibile abilitare facilmente le macchine, assegnare alle stesse configurazioni dichiarative e visualizzare report che mostrano la conformità di ogni macchina con lo stato desiderato specificato.

Riferimento: Uso di set di scalabilità di macchine virtuali con l'estensione DSC di Azure

agente di configurazione guest Criteri di Azure

Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: usare Microsoft Defender per Cloud e Criteri di Azure agente di configurazione guest per valutare regolarmente e correggere le deviazioni di configurazione nelle macchine virtuali.

Riferimento: Comprendere la funzionalità di configurazione guest di Criteri di Azure

Immagini vm personalizzate

Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o creare una baseline di configurazione sicura desiderata nel modello di immagine della macchina virtuale

Riferimento: Creare e usare un'immagine personalizzata per i set di scalabilità di macchine virtuali con Azure PowerShell

PV-4: Controllare e applicare le configurazioni sicure per le risorse di calcolo

Funzionalità

Macchina virtuale di avvio attendibile

Descrizione: Avvio attendibile protegge dalle tecniche di attacco avanzate e persistenti combinando tecnologie di infrastruttura come l'avvio sicuro, vTPM e il monitoraggio dell'integrità. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. L'avvio attendibile consente la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver e protegge in modo sicuro chiavi, certificati e segreti nelle macchine virtuali. L'avvio attendibile fornisce anche informazioni dettagliate e attendibili dell'integrità dell'intera catena di avvio e garantisce che i carichi di lavoro siano attendibili e verificabili. L'avvio attendibile è integrato con Microsoft Defender per Cloud per garantire che le macchine virtuali siano configurate correttamente, attestando in remoto che la macchina virtuale viene avviata in modo integro. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Nota funzionalità: l'avvio attendibile è disponibile per le macchine virtuali di seconda generazione. L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.

Indicazioni sulla configurazione: l'avvio attendibile può essere abilitato durante la distribuzione della macchina virtuale. Abilitare tutti e tre: Avvio sicuro, vTPM e monitoraggio dell'integrità per garantire il comportamento di sicurezza migliore per la macchina virtuale. Si noti che esistono alcuni prerequisiti, tra cui l'onboarding della sottoscrizione in Microsoft Defender for Cloud, l'assegnazione di determinate iniziative Criteri di Azure e la configurazione dei criteri del firewall.

Riferimento: Distribuire una macchina virtuale con avvio attendibile abilitato

PV-5: Eseguire valutazioni delle vulnerabilità

Funzionalità

Valutazione delle vulnerabilità tramite Microsoft Defender

Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per Cloud o altri servizi Microsoft Defender funzionalità di valutazione della vulnerabilità incorporata (inclusi Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: seguire le raccomandazioni di Microsoft Defender per Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure.

Informazioni di riferimento: Panoramica delle Microsoft Defender per i server

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0

PV-6: Correggere in modo rapido e automatico le vulnerabilità del software

Funzionalità

Automazione di Azure - Gestione aggiornamenti

Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: Microsoft offre altre funzionalità che consentono di gestire gli aggiornamenti per le macchine virtuali di Azure o i set di scalabilità di macchine virtuali di Azure che è consigliabile considerare come parte della strategia generale di gestione degli aggiornamenti.

Se si è interessati a valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità alla sicurezza con gli aggiornamenti critici e della sicurezza rilasciati ogni mese, vedere Applicazione automatica di patch guest alle macchine virtuali. Si tratta di una soluzione alternativa di gestione degli aggiornamenti per le macchine virtuali di Azure per aggiornarle automaticamente durante le ore non di punta, incluse le macchine virtuali all'interno di un set di disponibilità, rispetto alla gestione delle distribuzioni di aggiornamenti a tali macchine virtuali da Gestione aggiornamenti in Automazione di Azure.

Se si gestiscono set di scalabilità di macchine virtuali di Azure, vedere come eseguire aggiornamenti automatici dell'immagine del sistema operativo in modo sicuro e aggiornare automaticamente il disco del sistema operativo per tutte le istanze del set di scalabilità.

Per altre informazioni, vedere: Aggiornamenti automatici delle immagini del sistema operativo automatico del set di scalabilità di macchine virtuali di Azure.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Servizio patching guest di Azure

Descrizione: il servizio può usare Patch guest di Azure per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: i servizi possono sfruttare i diversi meccanismi di aggiornamento, ad esempio Aggiornamenti automatici dell'immagine del sistema operativo e Patch guest automatica. Le funzionalità sono consigliate per applicare gli aggiornamenti di sicurezza e critici più recenti al sistema operativo guest della macchina virtuale seguendo i principi di distribuzione sicura.

Patch guest automatico consente di valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità alla sicurezza con gli aggiornamenti critici e di sicurezza rilasciati ogni mese. Aggiornamenti vengono applicati durante le ore di punta, incluse le macchine virtuali all'interno di un set di disponibilità. Questa funzionalità è disponibile per l'orchestrazione flessibile vmSS, con il supporto futuro sulla roadmap per l'orchestrazione uniforme.

Se si esegue un carico di lavoro senza stato, gli aggiornamenti dell'immagine del sistema operativo automatico sono ideali per applicare l'aggiornamento più recente per l'uniforme vmSS. Con la funzionalità di rollback, questi aggiornamenti sono compatibili con le immagini di Marketplace o Personalizzate. Supporto dell'aggiornamento in sequenza futuro sulla roadmap per l'orchestrazione flessibile.

Informazioni di riferimento: Patch guest della macchina virtuale automatica per le macchine virtuali di Azure

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
[Anteprima]: gli aggiornamenti di sistema devono essere installati nei computer (basati su Update Center) Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. AuditIfNotExists, Disabled 1.0.0-preview

Sicurezza degli endpoint

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza degli endpoint.

ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)

Funzionalità

Soluzione EDR

Descrizione: la funzionalità di rilevamento degli endpoint e risposta (EDR), ad esempio Azure Defender per i server, può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: Azure Defender per i server (con Microsoft Defender per endpoint integrata) offre funzionalità EDR per impedire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per Cloud per distribuire Azure Defender per i server per l'endpoint e integrare gli avvisi alla soluzione SIEM, ad esempio Azure Sentinel.

Riferimento: licenza integrata per Microsoft Defender per endpoint

ES-2: Usare un software antimalware moderno

Funzionalità

Soluzione antimalware

Descrizione: funzionalità antimalware come Microsoft Defender Antivirus, Microsoft Defender per endpoint può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: per Windows Server 2016 e versioni successive, Microsoft Defender per Antivirus viene installato per impostazione predefinita. Per Windows Server 2012 R2 e versioni successive, i clienti possono installare SCEP (System Center Endpoint Protection). Per Linux, i clienti possono scegliere di installare Microsoft Defender per Linux. In alternativa, i clienti hanno anche la scelta di installare prodotti antimalware di terze parti.

Riferimento: Microsoft Antimalware per Azure Servizi cloud e Macchine virtuali

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati

Funzionalità

Monitoraggio dell'integrità della soluzione antimalware

Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti della piattaforma, del motore e delle firme automatiche. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: configurare la soluzione antimalware per garantire che la piattaforma, il motore e le firme vengano aggiornate rapidamente e in modo coerente e il relativo stato può essere monitorato.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di protezione degli endpoint supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Backup e ripristino

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: Supportato per VMSS Flex e non vmSS Uniform

Linee guida per la configurazione: abilitare Backup di Azure e indirizzare Azure Macchine virtuali (VM), nonché la frequenza e i periodi di conservazione desiderati. Ciò include il backup completo dello stato del sistema. Se si usa Crittografia dischi di Azure, il backup delle macchine virtuali di Azure gestisce automaticamente il backup delle chiavi gestite dal cliente. Per Azure Macchine virtuali, è possibile usare Criteri di Azure per abilitare i backup automatici.

Riferimento: Come acquisire uno snapshot di un'istanza del set di scalabilità di macchine virtuali e del disco gestito

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Compute:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0

Passaggi successivi