Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
Il benchmark di sicurezza di Azure più up-todata è disponibile qui.
Stabilire, implementare e gestire attivamente (tenere traccia, segnalare, correggere) la configurazione di sicurezza delle risorse di Azure per impedire agli utenti malintenzionati di sfruttare i servizi e le impostazioni vulnerabili.
7.1: Stabilire configurazioni sicure per tutte le risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.1 | 5.1 | Cliente |
Usare gli alias di Criteri di Azure per creare criteri personalizzati per controllare o applicare la configurazione delle risorse di Azure. È anche possibile usare definizioni predefinite di Criteri di Azure.
Azure Resource Manager ha anche la possibilità di esportare il modello in Json (JavaScript Object Notation), che deve essere esaminato per assicurarsi che le configurazioni soddisfino o superino i requisiti di sicurezza per l'organizzazione.
È anche possibile usare le raccomandazioni del Centro sicurezza di Azure come baseline di configurazione sicura per le risorse di Azure.
Esercitazione: Creare e gestire criteri per applicare la conformità
Esportazione di singola e multipla risorsa in un modello nel portale di Azure
7.2: Stabilire configurazioni sicure del sistema operativo
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.2 | 5.1 | Cliente |
Usare le raccomandazioni del Centro sicurezza di Azure per gestire le configurazioni di sicurezza in tutte le risorse di calcolo. Inoltre, è possibile usare immagini personalizzate del sistema operativo o configurazione dello stato di Automazione di Azure per stabilire la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.
Come monitorare le raccomandazioni del Centro sicurezza di Azure
Panoramica della Configurazione dello Stato di Automazione di Azure
Caricare un VHD e usarlo per creare nuove macchine virtuali Windows in Azure
7.3: Mantenere le configurazioni sicure delle risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.3 | 5.2 | Cliente |
Usa Policy di Azure [nega] e [distribuisci se non esiste] per applicare impostazioni sicure alle risorse di Azure. È anche possibile usare i modelli di Azure Resource Manager per mantenere la configurazione di sicurezza delle risorse di Azure richieste dall'organizzazione.
7.4: Mantenere configurazioni sicure del sistema operativo
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.4 | 5.2 | Condiviso |
Seguire le raccomandazioni del Centro sicurezza di Azure per eseguire valutazioni delle vulnerabilità sulle risorse di calcolo di Azure. È anche possibile usare modelli di Azure Resource Manager, immagini personalizzate del sistema operativo o configurazione dello stato di Automazione di Azure per mantenere la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione. I modelli di macchina virtuale Microsoft combinati con Desired State Configuration di Automazione di Azure possono essere utili per soddisfare e mantenere i requisiti di sicurezza.
Si noti che anche le immagini di macchine virtuali di Azure Marketplace pubblicate da Microsoft vengono gestite e mantenute da Microsoft.
Come creare una macchina virtuale di Azure da un modello di Azure Resource Manager
Panoramica della Configurazione dello Stato di Automazione di Azure
Informazioni su come scaricare il modello di macchina virtuale
7.5: Archiviare in modo sicuro la configurazione delle risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7,5 | 5,3 | Cliente |
Usare Azure DevOps per archiviare e gestire in modo sicuro il codice, ad esempio criteri di Azure personalizzati, modelli di Azure Resource Manager e script desired state Configuration. Per accedere alle risorse gestite in Azure DevOps, è possibile concedere o negare autorizzazioni a utenti specifici, gruppi di sicurezza predefiniti o gruppi definiti in Azure Active Directory (Azure AD) se integrati con Azure DevOps o Active Directory, se integrati con TFS.
7.6: Archiviare in modo sicuro immagini personalizzate del sistema operativo
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.6 | 5,3 | Cliente |
Se si usano immagini personalizzate, usare il controllo degli accessi in base al ruolo di Azure per garantire che solo gli utenti autorizzati possano accedere alle immagini. Usando una raccolta di immagini condivise è possibile condividere le immagini con utenti, entità servizio o gruppi di Active Directory diversi all'interno dell'organizzazione. Per le immagini del container, archiviale in Azure Container Registry e sfrutta Azure RBAC per garantire che solo gli utenti autorizzati possano accedere alle immagini.
7.7: Distribuire gli strumenti di gestione della configurazione per le risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.7 | 5.4 | Cliente |
Definire e implementare configurazioni di sicurezza standard per le risorse di Azure usando Criteri di Azure. Usare gli alias di Politiche di Azure per creare politiche personalizzate per controllare o imporre la configurazione di rete delle tue risorse Azure. È anche possibile usare definizioni di criteri predefinite correlate alle risorse specifiche. È anche possibile usare Automazione di Azure per distribuire le modifiche di configurazione.
7.8: Distribuire gli strumenti di gestione della configurazione per i sistemi operativi
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7,8 | 5.4 | Cliente |
Configurazione di Stato di Automazione di Azure è un servizio di gestione della configurazione per i nodi DSC (Desired State Configuration) nell'ambito di qualsiasi cloud o data center locale. È possibile eseguire facilmente l'onboarding dei computer, assegnarle configurazioni dichiarative e visualizzare i report che mostrano la conformità di ogni computer allo stato desiderato specificato.
7.9: Implementare il monitoraggio automatizzato della configurazione per le risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.9 | 5.5 | Cliente |
Usare il Centro sicurezza di Azure per eseguire analisi di base per le risorse di Azure. Usare anche Azure Policy per avvisare e monitorare le configurazioni delle risorse di Azure.
7.10: Implementare il monitoraggio automatizzato della configurazione per i sistemi operativi
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.10 | 5.5 | Cliente |
Usare il Centro sicurezza di Azure per eseguire analisi di base per le impostazioni del sistema operativo e Docker per i contenitori.
7.11: Gestire i segreti di Azure in modo sicuro
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.11 | 13.1 | Cliente |
Usare l'identità del servizio gestita insieme ad Azure Key Vault per semplificare e proteggere la gestione dei segreti per le applicazioni cloud.
7.12: Gestire le identità in modo sicuro e automatico
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.12 | 4.1 | Cliente |
Usare identità gestite per fornire ai servizi di Azure un'identità gestita automaticamente in Azure AD. Le identità gestite consentono di eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Azure AD, incluso Key Vault, senza credenziali nel codice.
7.13: Eliminare l'esposizione imprevista delle credenziali
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
Implementare Credential Scanner per identificare le credenziali all'interno del codice. Lo scanner di credenziali incoraggia anche lo spostamento delle credenziali individuate in posizioni più sicure, ad esempio Azure Key Vault.
Passaggi successivi
- Vedere il controllo di sicurezza successivo: Malware Defense