Controllo di sicurezza: Sicurezza della rete

Annotazioni

L'ultimo benchmark di sicurezza di Azure, up-to, è disponibile qui.

Le raccomandazioni sulla sicurezza di rete si concentrano sulla specifica dei protocolli di rete, delle porte TCP/UDP e dei servizi connessi alla rete a cui è consentito o negato l'accesso ai servizi di Azure.

1.1: Proteggere le risorse di Azure all'interno delle reti virtuali

Azure ID ID CIS Responsabilità
1.1 9.2, 9.4, 14.1, 14.2, 14.3 Cliente

Assicurarsi che a tutte le distribuzioni di subnet della rete virtuale sia applicato un gruppo di sicurezza di rete con controlli di accesso alla rete specifici per le porte e le origini attendibili dell'applicazione. Se disponibili, usare endpoint privati con collegamento privato per proteggere le risorse del servizio di Azure nella rete virtuale estendendo l'identità della rete virtuale al servizio. Quando gli endpoint privati e il collegamento privato non sono disponibili, usare gli endpoint di servizio. Per i requisiti specifici del servizio, fare riferimento alla raccomandazione di sicurezza per quel servizio specifico.

In alternativa, se si dispone di un caso d'uso specifico, il requisito può essere soddisfatto implementando Firewall di Azure.

1.2: Monitorare e registrare la configurazione e il traffico di reti virtuali, subnet e schede di interfaccia di rete

Azure ID ID CIS Responsabilità
1,2 9.3, 12.2, 12.8 Cliente

Usare il Centro sicurezza di Azure e seguire le raccomandazioni sulla protezione di rete per proteggere le risorse di rete in Azure. Abilitare i log dei flussi dei gruppi di sicurezza di rete e inviare i log in un account di archiviazione per il controllo del traffico. È anche possibile inviare i log dei flussi dei gruppi di sicurezza di rete a un'area di lavoro Log Analytics e usare Analisi del traffico per fornire informazioni dettagliate sul flusso di traffico nel cloud di Azure. Alcuni vantaggi di Analisi del traffico sono la capacità di visualizzare l'attività di rete e identificare i punti critici, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico e individuare le configurazioni errate della rete.

1.3: Proteggere le applicazioni Web critiche

Azure ID ID CIS Responsabilità
1.3 9.5 Cliente

Distribuisci Azure Web Application Firewall (WAF) davanti alle applicazioni Web critiche per un'ulteriore ispezione del traffico in ingresso. Abilitare l'impostazione di diagnostica per WAF e inserire i log in un account di archiviazione, in un hub eventi o in un'area di lavoro Log Analytics.

1.4: Rifiutare le comunicazioni con indirizzi IP dannosi noti

Azure ID ID CIS Responsabilità
1.4 12.3 Cliente

Abilitare la protezione DDoS Standard nelle reti virtuali di Azure per proteggersi dagli attacchi DDoS. Usare l'intelligence per le minacce integrata del Centro sicurezza di Azure per negare le comunicazioni con indirizzi IP dannosi noti.

Distribuisci Firewall di Azure in ognuno dei limiti di rete dell'organizzazione con Threat Intelligence abilitata e configurata per "Avvisa e nega" per il traffico di rete dannoso.

Usare l'accesso alla rete JIT del Centro sicurezza di Azure per configurare i gruppi di sicurezza di rete in modo da limitare l'esposizione degli endpoint agli indirizzi IP approvati per un periodo limitato.

Usare la protezione avanzata adattiva della rete del Centro sicurezza di Azure per consigliare configurazioni di gruppi di sicurezza di rete che limitano le porte e gli indirizzi IP di origine in base al traffico effettivo e all'intelligence per le minacce.

1.5: Registrare pacchetti di rete

Azure ID ID CIS Responsabilità
1,5 12.5 Cliente

Abilitare l'acquisizione dei pacchetti Network Watcher per analizzare le attività anomale.

1.6: Implementare sistemi di rilevamento/prevenzione delle intrusioni basati sulla rete (IDS/IPS)

Azure ID ID CIS Responsabilità
1.6 12,6, 12,7 Cliente

Selezionare un'offerta da Azure Marketplace che supporta la funzionalità IDS/IPS con funzionalità di ispezione del payload. Se il rilevamento e/o la prevenzione delle intrusioni basati sull'ispezione del payload non sono un requisito, è possibile usare Firewall di Azure con Threat Intelligence. Il filtro basato sull'intelligence per le minacce di Firewall di Azure può avvisare e negare il traffico da e verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft.

Distribuisci la soluzione firewall di tua scelta in ciascuno dei confini di rete della tua organizzazione per rilevare e/o negare il traffico dannoso.

1.7: Gestire il traffico verso le applicazioni Web

Azure ID ID CIS Responsabilità
1.7 12.9, 12.10 Cliente

Distribuire il gateway applicazione di Azure per le applicazioni Web con HTTPS/TLS abilitato per i certificati attendibili.

1.8: Ridurre al minimo la complessità e il sovraccarico amministrativo delle regole di sicurezza della rete

Azure ID ID CIS Responsabilità
1.8 1,5 Cliente

Usare i tag del servizio di rete virtuale per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Specificando il nome del tag di servizio (ad esempio, ApiManagement) nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi.

È inoltre possibile utilizzare i gruppi di sicurezza delle applicazioni per semplificare la configurazione di sicurezza complessa. I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione, consentendo di raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base a tali gruppi.

1.9: Mantenere le configurazioni di sicurezza standard per i dispositivi di rete

Azure ID ID CIS Responsabilità
1.9 11,1 Cliente

Definire e implementare configurazioni di sicurezza standard per le risorse di rete con Criteri di Azure.

È anche possibile usare Azure Blueprints per semplificare le distribuzioni di Azure su larga scala creando il pacchetto di elementi chiave dell'ambiente, ad esempio i modelli di Azure Resources Manager, i controlli RBAC di Azure e i criteri, in un'unica definizione di progetto. È possibile applicare il progetto a nuove sottoscrizioni e ottimizzare il controllo e la gestione tramite il controllo delle versioni.

1.10: Documentare le regole di configurazione del traffico

Azure ID ID CIS Responsabilità
1.10 11.2 Cliente

Usare i tag per i gruppi di sicurezza di rete e altre risorse correlate alla sicurezza della rete e al flusso del traffico. Per le singole regole del gruppo di sicurezza di rete, usare il campo "Descrizione" per specificare le esigenze aziendali e/o la durata (ecc.) per tutte le regole che consentono il traffico da/verso una rete.

Usare una delle definizioni predefinite di Criteri di Azure correlate all'assegnazione di tag, ad esempio "Richiedi tag e relativo valore" per assicurarsi che tutte le risorse vengano create con tag e per notificare le risorse esistenti senza tag.

È possibile usare Azure PowerShell o l'interfaccia della riga di comando di Azure per cercare o eseguire azioni sulle risorse in base ai relativi tag.

1.11: Utilizzare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche

Azure ID ID CIS Responsabilità
1.11 11.3 Cliente

Usare il log attività di Azure per monitorare le configurazioni delle risorse e rilevare le modifiche apportate alle risorse di Azure. Creare avvisi all'interno di Monitoraggio di Azure che verranno attivati quando vengono apportate modifiche alle risorse critiche.

Passaggi successivi

  • Last updated on