Panoramica dei controlli di sicurezza di Azure (v2)
Azure Security Benchmark (ASB) fornisce procedure consigliate e raccomandazioni prescrittive per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure.
Questo benchmark fa parte di un set di linee guida per la sicurezza olistiche che includono anche:
- Cloud Adoption Framework: linee guida sulla sicurezza, tra cui strategia, ruoli e responsabilità, procedure consigliate per la sicurezza top 10 di Azure e implementazione di riferimento.
- Azure Well-Architected Framework : linee guida per la protezione dei carichi di lavoro in Azure.
- Procedure consigliate per la sicurezza Microsoft : raccomandazioni con esempi in Azure.
Azure Security Benchmark è incentrato sulle aree di controllo incentrate sul cloud. Questi controlli sono coerenti con i benchmark di sicurezza noti, ad esempio quelli descritti dal Center for Internet Security (CIS) Controls Version 7.1 e National Institute of Standards and Technology (NIST) SP 800-53. I controlli seguenti sono inclusi in Azure Security Benchmark:
| Domini di controllo ASB | Descrizione |
|---|---|
| Sicurezza di rete (NS) | La sicurezza di rete riguarda i controlli per proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS. |
| Identity Management (IM) | Identity Management illustra i controlli per stabilire controlli di identità e accesso sicuri usando Azure Active Directory, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (e entità servizio) per applicazioni, accesso condizionale e monitoraggio delle anomalie degli account. |
| Accesso con privilegi (PA) | L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse di Azure, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation con accesso con privilegi contro rischi intenzionali e accidentali. |
| Protezione dei dati (DP) | La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia e la registrazione in Azure. |
| Gestione asset (AM) | Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse di Azure, incluse le raccomandazioni sulle autorizzazioni per il personale della sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per servizi e risorse (inventario, traccia e correzione). |
| Registrazione e rilevamento delle minacce (LT) | La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce in Azure e abilitare, raccogliere e archiviare i log di controllo per i servizi di Azure, tra cui l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di alta qualità con il rilevamento delle minacce nativo nei servizi di Azure; include anche la raccolta di log con Monitoraggio di Azure, la centralizzazione dell'analisi della sicurezza con Azure Sentinel, la sincronizzazione dell'ora e la conservazione dei log. |
| Risposta agli eventi imprevisti | La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, tra cui l'uso di servizi di Azure come Centro sicurezza di Azure e Sentinel per automatizzare il processo di risposta agli eventi imprevisti. |
| Comportamento e gestione delle vulnerabilità (PV) | La gestione del comportamento e della vulnerabilità è incentrata sui controlli per valutare e migliorare il comportamento di sicurezza di Azure, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse di Azure. |
| Endpoint Security (ES) | Endpoint Security illustra i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento degli endpoint e della risposta (EDR) e del servizio antimalware per gli endpoint negli ambienti Azure. |
| Backup e ripristino (BR) | Backup e ripristino illustra i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti. |
| Governance e strategia (GS) | La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto. |
Raccomandazioni di Azure Security Benchmark
Ogni raccomandazione include le informazioni seguenti:
- ID di Azure: ID di Azure Security Benchmark corrispondente alla raccomandazione.
- CIS Controls v7.1 ID(s): i controlli CIS Controls v7.1 che corrispondono a questa raccomandazione.
- NIST SP 800-53 r4 ID:NIST SP 800-53 r4 (moderate) che corrispondono a questa raccomandazione.
- Dettagli: la logica per la raccomandazione e collegamenti a indicazioni su come implementarla. Se la raccomandazione è supportata da Centro sicurezza di Azure, verranno elencate anche tali informazioni.
- Responsabilità: se il cliente, il provider di servizi o entrambi sono responsabili dell'implementazione di questa raccomandazione. Le responsabilità di sicurezza vengono condivise nel cloud pubblico. Alcuni controlli di sicurezza sono disponibili solo per il provider di servizi cloud e pertanto il provider è responsabile dell'indirizzamento. Si tratta di osservazioni generali: per alcuni singoli servizi, la responsabilità sarà diversa da quella elencata in Azure Security Benchmark. Tali differenze sono descritte nelle raccomandazioni di base per il singolo servizio.
- Stakeholder della sicurezza dei clienti: le funzioni di sicurezza dell'organizzazione del cliente che possono essere responsabili, responsabili o consultate per il rispettivo controllo. Può essere diverso dall'organizzazione all'organizzazione a seconda della struttura dell'organizzazione di sicurezza dell'azienda e dei ruoli e delle responsabilità configurati in relazione alla sicurezza di Azure.
Nota
I mapping dei controlli tra ASB e benchmark del settore (ad esempio NIST e CIS) indicano solo che una funzionalità specifica di Azure può essere usata per soddisfare completamente o parzialmente un requisito di controllo definito in NIST o CIS. È necessario tenere presente che tale implementazione non si traduce necessariamente nella conformità completa del controllo corrispondente in CIS o NIST.
Siamo lieti di ricevere commenti e suggerimenti dettagliati e di partecipare attivamente allo sforzo di Azure Security Benchmark. Se si vuole fornire l'input diretto del team di Azure Security Benchmark, compilare il modulo all'indirizzo https://aka.ms/AzSecBenchmark
Scarica
È possibile scaricare Azure Security Benchmark in formato foglio di calcolo.
Passaggi successivi
- Vedere il primo controllo di sicurezza: Sicurezza di rete
- Leggere l'introduzione di Azure Security Benchmark
- Informazioni sui concetti fondamentali sulla sicurezza di Azure