Controllo di sicurezza V2: Sicurezza di rete

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

La sicurezza di rete copre i controlli per proteggere e proteggere le reti di Azure. Ciò include la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione di DNS.

Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Sicurezza di rete

Sicurezza di rete 1: Implementare la sicurezza per il traffico interno

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
NS-1	9.2, 9.4, 14.1, 14.2, 14.3	AC-4, CA-3, SC-7

Assicurarsi che tutte le reti virtuali di Azure seguono un principio di segmentazione aziendale allineato ai rischi aziendali. Qualsiasi sistema che potrebbe comportare un rischio maggiore per l'organizzazione deve essere isolato all'interno della propria rete virtuale e sufficientemente protetto con un gruppo di sicurezza di rete (NSG) e/o Firewall di Azure.

In base alle applicazioni e alla strategia di segmentazione aziendale, limitare o consentire il traffico tra le risorse interne in base alle regole del gruppo di sicurezza di rete. Per applicazioni ben definite ( ad esempio un'app a 3 livelli), questo può essere un approccio "deny by default, permit by exception" altamente sicuro. Ciò potrebbe non essere corretto se si hanno molte applicazioni ed endpoint che interagiscono tra loro. È anche possibile usare Firewall di Azure in circostanze in cui è necessaria la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).

Usare Centro sicurezza di Azure protezione avanzata della rete adattiva per consigliare le configurazioni dei gruppi di sicurezza di rete che limitano porte e INDIRIZZI IP di origine in base alle regole del traffico di rete esterne.

Usare Azure Sentinel per individuare l'uso di protocolli non sicuri legacy, ad esempio SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Binding LDAP senza segno e crittografia debole in Kerberos.

• Come creare un gruppo di sicurezza di rete con regole di sicurezza

• Come distribuire e configurare Firewall di Azure

• Protezione avanzata adattiva per la rete nel Centro sicurezza di Azure

• Cartella di lavoro dei protocolli non sicuri di Azure Sentinel

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 2: Connettere tra loro reti private

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
NS-2	N/D	CA-3, AC-17, MA-4

Usare Azure ExpressRoute o la rete privata virtuale (VPN) di Azure per creare connessioni private tra i data center di Azure e l'infrastruttura locale in un ambiente con coubicazione. Le connessioni ExpressRoute non passano su Internet pubblico e offrono maggiore affidabilità, velocità più veloci e latenze inferiori rispetto alle connessioni Internet tipiche. Per VPN da punto a sito e VPN da sito a sito, è possibile connettere dispositivi o reti locali a una rete virtuale usando qualsiasi combinazione di queste opzioni VPN e Azure ExpressRoute.

Per connettere due o più reti virtuali in Azure, usare il peering di rete virtuale o collegamento privato. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.

• Informazioni sui modelli di connettività ExpressRoute

• Panoramica della VPN di Azure

• Peering di rete virtuale

• Collegamento privato di Azure

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

NS-3: Stabilire l'accesso alla rete privato ai servizi di Azure

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
NS-3	14.1	AC-4, CA-3, SC-7

Usare collegamento privato di Azure per abilitare l'accesso privato ai servizi di Azure dalle reti virtuali, senza attraversare Internet. In situazioni in cui collegamento privato di Azure non è ancora disponibile, usare gli endpoint di servizio di Azure Rete virtuale. Gli endpoint di servizio di Azure Rete virtuale offrono accesso sicuro ai servizi tramite una route ottimizzata sulla rete backbone di Azure.

L'accesso privato è una misura aggiuntiva di difesa approfondita oltre all'autenticazione e alla sicurezza del traffico offerta dai servizi di Azure.

• Informazioni collegamento privato di Azure

• Informazioni sugli endpoint di servizio Rete virtuale

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 4: Proteggere le applicazioni e i servizi da attacchi di rete esterni

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
NS-4	9.5, 12.3, 12.9	SC-5, SC-7

Proteggere le risorse di Azure da attacchi da reti esterne, inclusi attacchi denial of service (DDoS) distribuiti, attacchi specifici dell'applicazione e traffico Internet potenzialmente dannoso. Azure include funzionalità native per questo:

• Usare Firewall di Azure per proteggere applicazioni e servizi da traffico potenzialmente dannoso da Internet e da altre posizioni esterne.

• Usare le funzionalità di Web application firewall (WAF) in gateway applicazione di Azure, Frontdoor di Azure e Rete per la distribuzione di contenuti di Azure (CDN) per proteggere le applicazioni, i servizi e le API da attacchi a livello di applicazione.

• Proteggere gli asset dagli attacchi DDoS abilitando la protezione standard DDoS nelle reti virtuali di Azure.

• Usare Centro sicurezza di Azure per rilevare i rischi di configurazione non corretti correlati all'oggetto precedente.

• Firewall di Azure documentazione

• Come distribuire Azure WAF

• Gestire Protezione DDoS di Azure Standard nel portale di Azure

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 5: Distribuire sistemi di rilevamento/prevenzione intrusioni (IDS/IPS)

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
NS-5	12.6, 12.7	SI-4

Usare il filtro di Firewall di Azure basato sull'intelligence sulle minacce per ricevere avvisi e/o bloccare il traffico da e verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. Quando è necessaria l'ispezione del payload, è possibile usare Firewall di Azure funzionalità IDPS Premium o distribuire un sistema di rilevamento/prevenzione delle intrusioni di terze parti (IDS/IPS) da Azure Marketplace con funzionalità di ispezione del payload. In alternativa, è possibile usare l'IDS/IPS basato su host o una soluzione di rilevamento e risposta degli endpoint (EDR) basata su host in combinazione con o anziché IDS/IPS basato sulla rete.

Nota: se si dispone di un requisito normativo o di altro tipo per l'uso di IDS/IPS, assicurarsi che sia sempre ottimizzato per fornire avvisi di alta qualità alla soluzione SIEM.

• Come distribuire Firewall di Azure

• Azure Marketplace include funzionalità IDS di terze parti

• funzionalità Microsoft Defender per endpoint

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 6: Semplificare le regole di sicurezza di rete

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
NS-6	1.5	IA-4

Semplificare le regole di sicurezza di rete sfruttando i tag del servizio e i gruppi di sicurezza delle applicazioni.

Usare Rete virtuale tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o Firewall di Azure. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Specificando il nome del tag del servizio nel campo di origine o di destinazione di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.

È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare la configurazione di sicurezza complessa. Anziché definire criteri basati su indirizzi IP espliciti nei gruppi di sicurezza di rete, i gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione, consentendo di raggruppare le macchine virtuali e definire criteri di sicurezza di rete basati su tali gruppi.

• Comprendere e usare i tag del servizio

• Comprendere e usare i gruppi di sicurezza delle applicazioni

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps

Sicurezza di rete 7: Proteggere il servizio DNS (Domain Name Service)

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
NS-7	N/D	SC-20, SC-21

Seguire le procedure consigliate per la sicurezza DNS per mitigare gli attacchi comuni, ad esempio voci DNS sospese, attacchi di amplificazione DNS, poisoning e spoofing DNS e così via.

Quando DNS di Azure viene usato come servizio DNS autorevole, assicurarsi che le zone e i record DNS siano protetti da modifiche accidentali o dannose usando il controllo degli accessi in base al ruolo di Azure e i blocchi delle risorse.

• Panoramica di DNS di Azure

• Guida alla distribuzione dns (Secure Domain Name System)

• Evitare voci DNS inesatte ed evitare l'acquisizione di sottodomini

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza

• Gestione della postura

• Sicurezza delle applicazioni e DevOps