Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
L'ultimo benchmark di sicurezza di Azure, up-to, è disponibile qui.
La gestione della postura e della vulnerabilità è incentrata sui controlli per la valutazione e il miglioramento del comportamento di sicurezza di Azure. Sono incluse l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento, la creazione di report e la correzione della configurazione della sicurezza nelle risorse di Azure.
Per visualizzare i criteri di Azure predefiniti applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Comportamento e gestione delle vulnerabilità
PV-1: Stabilire configurazioni sicure per i servizi di Azure
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-1 | 5.1 | CM-2, CM-6 |
Definire protezioni di sicurezza per i team di infrastruttura e DevOps semplificando la configurazione sicura dei servizi di Azure usati.
Avviare la configurazione della sicurezza dei servizi di Azure con le linee di base del servizio in Azure Security Benchmark e personalizzare in base alle esigenze dell'organizzazione.
Usare il Centro sicurezza di Azure per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure.
È possibile usare Azure Blueprints per automatizzare la distribuzione e la configurazione di servizi e ambienti applicativi, inclusi i modelli di Azure Resource Manager, i controlli di accesso basati sui ruoli di Azure e i criteri, all'interno di una singola definizione di schema.
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-2: Sostenere configurazioni sicure per i servizi di Azure
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Usare il Centro sicurezza di Azure per monitorare la baseline di configurazione e usare la regola di Criteri di Azure [nega] e [deploy if not exist] per applicare la configurazione sicura tra le risorse di calcolo di Azure, incluse macchine virtuali, contenitori e altri.
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-3: Stabilire configurazioni sicure per le risorse di calcolo
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-3 | 5.1 | CM-2, CM-6 |
Usare il Centro sicurezza di Azure e Criteri di Azure per stabilire configurazioni sicure in tutte le risorse di calcolo, incluse macchine virtuali, contenitori e altri, è anche possibile usare immagini personalizzate del sistema operativo o Configurazione dello stato di Automazione di Azure per stabilire la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.
Come monitorare le raccomandazioni del Centro sicurezza di Azure
Panoramica su Configurazione dello stato in Automazione di Azure
Caricare un VHD e usarlo per creare nuove macchine virtuali Windows in Azure
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-4: Sostenere configurazioni sicure per le risorse di calcolo
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Usare il Centro sicurezza di Azure e Criteri di Azure per valutare e correggere regolarmente i rischi di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri. È anche possibile usare modelli di Azure Resource Manager, immagini personalizzate del sistema operativo o State Configuration di Automazione di Azure per mantenere la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione. I modelli di macchina virtuale Microsoft insieme a State Configuration di Automazione di Azure consentono di soddisfare e gestire i requisiti di sicurezza.
Si noti anche che le immagini di macchine virtuali di Azure Marketplace pubblicate da Microsoft vengono gestite e mantenute da Microsoft.
Il Centro sicurezza di Azure può anche analizzare le vulnerabilità nelle immagini del contenitore ed eseguire il monitoraggio continuo della configurazione di Docker nei contenitori, in base al benchmark Docker CIS. È possibile usare la pagina raccomandazioni del Centro sicurezza di Azure per visualizzare le raccomandazioni e risolvere i problemi.
Come creare una macchina virtuale di Azure da un modello ARM
Panoramica su Configurazione dello stato in Automazione di Azure
Informazioni su come scaricare il modello per una macchina virtuale
Responsabilità: Condiviso
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-5: archiviare in modo sicuro immagini del sistema operativo e del contenitore personalizzate
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-5 | 5,3 | CM-2, CM-6 |
Usare il controllo degli accessi in base al ruolo di Azure per assicurarsi che solo gli utenti autorizzati possano accedere alle immagini personalizzate. Usare una raccolta di immagini condivise di Azure per condividere le immagini con utenti, entità servizio o gruppi di Active Directory diversi all'interno dell'organizzazione. Archiviare le immagini del contenitore in Registro Azure Container e usare il controllo degli accessi in base al ruolo di Azure per assicurarsi che solo gli utenti autorizzati abbiano accesso.
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-6: Eseguire valutazioni delle vulnerabilità software
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Seguire le raccomandazioni del Centro sicurezza di Azure per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server SQL. Il Centro sicurezza di Azure include uno scanner di vulnerabilità predefinito per analizzare le macchine virtuali.
Usare una soluzione di terze parti per eseguire valutazioni delle vulnerabilità nei dispositivi di rete e nelle applicazioni Web. Quando si eseguono analisi remote, non usare un singolo account amministrativo perpetuo e perpetuo. Valutare la possibilità di implementare la metodologia di provisioning JIT (Just In Time) per l'account di analisi. Le credenziali per l'account di analisi devono essere protette, monitorate e usate solo per l'analisi delle vulnerabilità.
Esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che le vulnerabilità siano state corrette. Quando si usano le raccomandazioni di gestione delle vulnerabilità suggerite dal Centro sicurezza di Azure, è possibile eseguire il pivot nel portale della soluzione di analisi selezionata per visualizzare i dati cronologici di analisi.
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-7: correggere rapidamente e automaticamente le vulnerabilità del software
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Distribuire rapidamente gli aggiornamenti software per correggere le vulnerabilità software nei sistemi operativi e nelle applicazioni.
Usare un programma di assegnazione dei punteggi di rischio comune (ad esempio Common Vulnerability Scoring System) o le classificazioni di rischio predefinite fornite dallo strumento di analisi di terze parti e personalizzare l'ambiente, tenendo conto delle applicazioni che presentano un rischio di sicurezza elevato e quali richiedono tempi di attività elevati.
Usare la Gestione degli aggiornamenti di Azure Automazione o una soluzione di terze parti per assicurarsi che gli aggiornamenti di sicurezza più recenti siano installati sulle macchine virtuali Windows e Linux. Per le macchine virtuali Windows, verificare che Windows Update sia stato abilitato e impostato per l'aggiornamento automatico.
Per il software di terze parti, usare una soluzione di gestione delle patch di terze parti o System Center Updates Publisher per Configuration Manager.
Come configurare Gestione aggiornamenti per le macchine virtuali in Azure
Gestire gli aggiornamenti e le patch per le macchine virtuali di Azure
Responsabilità: Cliente
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):
PV-8: Eseguire una simulazione regolare degli attacchi
| Azure ID | CIS Controlli v7.1 Identificatore/i | NIST SP 800-53 r4 ID |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
In base alle esigenze, eseguire test di penetrazione o attività red team sulle risorse di Azure e garantire la correzione di tutti i risultati critici della sicurezza. Seguire le regole di coinvolgimento dei test di penetrazione microsoft cloud per assicurarsi che i test di penetrazione non siano in violazione dei criteri Microsoft. Usa la strategia e l'esecuzione di Red Teaming e test di penetrazione su siti operativi in tempo reale per l'infrastruttura, i servizi e le applicazioni cloud gestiti da Microsoft.
Responsabilità: Condiviso
Portatori di interesse per la sicurezza dei clienti (Ulteriori informazioni):