Condividi tramite


Baseline di sicurezza di Azure per Gateway VPN

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Gateway VPN. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle Gateway VPN.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili a Gateway VPN sono state escluse. Per informazioni su come Gateway VPN esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza Gateway VPN.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Gateway VPN, con conseguente aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Rete
Il cliente può accedere a HOST/sistema operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia i contenuti dei clienti inattivi Falso

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Esercitazione: Creare e gestire un gateway VPN usando il portale di Azure

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Network:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatorio per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Informazioni di riferimento: Configurare un tenant di Azure AD e una configurazione da sito a sito per le connessioni da sito a sito Gateway VPN

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Si considerino casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la necessità di dispositivi gestiti dall'organizzazione per applicazioni specifiche.

Informazioni di riferimento: Abilitare Azure AD Multi-Factor Authentication (MFA) per gli utenti VPN

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Integrazione e archiviazione di credenziali e segreti del servizio in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

PA-8: Determinare il processo di accesso per il supporto del provider cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-3: Crittografare i dati sensibili in transito

Funzionalità

Dati in Crittografia di transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Che cos'è Azure Gateway VPN?

DP-4: Abilitare i dati inattivi per impostazione predefinita

Funzionalità

Dati inattivi crittografia tramite chiavi della piattaforma

Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-6: Usare un processo di gestione delle chiavi sicuro

Funzionalità

Gestione delle chiavi in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-7: usare un processo di gestione sicura dei certificati

Funzionalità

Gestione certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: usare solo i servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: sono stati definiti due criteri:

  1. I gateway VPN di Azure non devono usare lo SKU "basic".
  2. I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito.

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Criteri di Azure definizioni predefinite per i servizi di rete di Azure

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-4: Abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurarsi che i backup automatici regolari

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Passaggi successivi