Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Security Benchmark (ASB) fornisce procedure consigliate e consigli prescrittivi per migliorare la sicurezza di carichi di lavoro, dati e servizi in Azure. Questo benchmark fa parte di un set di linee guida per la sicurezza olistiche che includono anche:
- Cloud Adoption Framework: linee guida sulla sicurezza, tra cui strategia, ruoli e responsabilità, Procedure consigliate per la sicurezza top 10 di Azure e implementazione di riferimento.
- Azure Well-Architected Framework: linee guida per la protezione dei carichi di lavoro in Azure.
- Procedure consigliate per la sicurezza Microsoft: raccomandazioni con esempi in Azure.
- Microsoft Cybersecurity Reference Architectures (MCRA):diagrammi visivi e linee guida per componenti e relazioni di sicurezza
Azure Security Benchmark è incentrato sulle aree di controllo incentrate sul cloud. Questi controlli sono coerenti con i benchmark di sicurezza noti, ad esempio quelli descritti dal Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e Payment Card Industry Data Security Standard (PCI-DSS).
Novità di ASB v3
Ecco le novità di Azure Security Benchmark v3:
- I mapping ai framework di settore PCI-DSS v3.2.1 e ai controlli CIS v8 vengono aggiunti oltre ai mapping esistenti ai controlli CIS v7.1 e NIST SP800-53 Rev4.
- Perfezionare le linee guida per il controllo in modo che siano più granulari e utilizzabili, ad esempio, le linee guida per la sicurezza sono ora suddivise in due parti separate, Principio di sicurezza e Linee guida di Azure. Principio di sicurezza è il "cosa", spiegando il controllo a livello tecnologico-indipendente; Il materiale sussidiario di Azure è incentrato sulle "procedure", elaborando le funzionalità tecniche pertinenti e sui modi per implementare i controlli in Azure.
- Aggiunta di nuovi controlli, ad esempio DevOps Security come nuova famiglia di controlli, che include anche argomenti come la modellazione delle minacce e la sicurezza della supply chain del software. La gestione delle chiavi e dei certificati è stata introdotta per consigliare le procedure consigliate per la gestione delle chiavi e dei certificati in Azure.
Controlli
I controlli seguenti sono inclusi in Azure Security Benchmark v3:
| Domini di controllo ASB | Descrizione |
|---|---|
| Sicurezza di rete (NS) | La sicurezza di rete copre i controlli per proteggere e proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS. |
| Gestione delle identità (IM) | Identity Management illustra i controlli per stabilire controlli di identità e accesso sicuri usando Azure Active Directory, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (e entità servizio) per applicazioni, accesso condizionale e monitoraggio delle anomalie degli account. |
| Accesso con privilegi (PA) | L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse di Azure, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e accidentali. |
| Protezione dei dati (DP) | La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la chiave e la gestione dei certificati in Azure. |
| Gestione degli asset (AM) | La gestione degli asset include i controlli per garantire la visibilità e la governance della sicurezza sulle risorse di Azure, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso sicuro all'inventario degli asset e la gestione delle approvazioni per servizi e risorse (inventariare, tracciare e correggere). |
| Registrazione e rilevamento delle minacce (LT) | La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce in Azure e abilitare, raccogliere e archiviare i log di controllo per i servizi di Azure, tra cui l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di alta qualità con il rilevamento nativo delle minacce nei servizi di Azure; include anche la raccolta di log con Monitoraggio di Azure, la centralizzazione dell'analisi della sicurezza con Azure Sentinel, la sincronizzazione dell'ora e la conservazione dei log. |
| Risposta agli eventi imprevisti (IR) | La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, incluso l'uso di servizi di Azure come Microsoft Defender for Cloud e Sentinel per automatizzare il processo di risposta agli eventi imprevisti. |
| Gestione della postura e della vulnerabilità (PV) | La gestione del comportamento e della vulnerabilità è incentrata sui controlli per la valutazione e il miglioramento del comportamento di sicurezza di Azure, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse di Azure. |
| Sicurezza degli endpoint (ES) | Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento e della risposta degli endpoint (EDR) e del servizio antimalware per gli endpoint negli ambienti Azure. |
| Backup e ripristino (BR) | Il backup e il ripristino illustrano i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti. |
| Sicurezza DevOps (DS) | Sicurezza DevOps include i controlli correlati alla progettazione e alle operazioni di sicurezza nei processi DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statici e gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza durante il processo DevOps. Include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza dell'approvvigionamento software. |
| Governance e strategia (GS) | La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, inclusa la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto. |
Raccomandazioni di Azure Security Benchmark
Ogni raccomandazione include le informazioni seguenti:
- ID ASB: ID del benchmark di sicurezza di Azure corrispondente alla raccomandazione.
- ID controlli CIS v8: I controlli di CIS Controls v8 che corrispondono alla raccomandazione.
- ID(s) dei controlli CIS v7.1: I controlli CIS v7.1 che corrispondono alla raccomandazione (non disponibili sul web a causa di problemi di formattazione).
- PCI-DSS: i controlli v3.2.1 PCI-DSS che corrispondono alla raccomandazione.
- ID NIST SP 800-53 r4: i controlli NIST SP 800-53 r4 (Moderato e Alto) che corrispondono a questa raccomandazione.
- Principio di sicurezza: la raccomandazione è incentrata sul "cosa", spiegando il controllo a livello di tecnologia indipendente.
- Linee guida di Azure: il consiglio è incentrato sulla "procedura", che illustra le funzionalità tecniche di Azure e le nozioni di base sull'implementazione.
- Contesto di implementazione e addizione: i dettagli di implementazione e altro contesto pertinente che si collega agli articoli della documentazione dell'offerta di servizi di Azure.
- Interessati alla sicurezza dei clienti: le funzioni di sicurezza dell'organizzazione del cliente che possono essere responsabili, incaricati o consultate per il rispettivo controllo. Può essere diverso dall'organizzazione all'organizzazione a seconda della struttura dell'organizzazione di sicurezza aziendale e dei ruoli e delle responsabilità configurati in relazione alla sicurezza di Azure.
Annotazioni
I mapping dei controlli tra ASB e benchmark del settore (ad esempio CIS, NIST e PCI) indicano solo che una o più funzionalità di Azure specifiche possono essere usate per soddisfare completamente o parzialmente un requisito di controllo definito in questi benchmark del settore. È necessario tenere presente che tale implementazione non si traduce necessariamente nella conformità completa dei controlli corrispondenti in questi benchmark del settore.
Microsoft è lieta di ricevere commenti e suggerimenti dettagliati e di partecipare attivamente al lavoro di Azure Security Benchmark. Se si vuole fornire l'input diretto del team di Azure Security Benchmark, compilare il modulo all'indirizzo https://aka.ms/AzSecBenchmark
Scarica
È possibile scaricare Azure Security Benchmark in formato foglio di calcolo.
Passaggi successivi
- Consultare il primo controllo di sicurezza: Sicurezza di rete
- Leggere l'introduzione di Azure Security Benchmark
- Informazioni sui concetti fondamentali sulla sicurezza di Azure