Condividi tramite


Controllo di sicurezza v3: Sicurezza di rete

La sicurezza di rete copre i controlli per proteggere e proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS.

NS-1: Stabilire limiti di segmentazione di rete

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Principio di sicurezza: assicurarsi che la distribuzione della rete virtuale sia allineata alla strategia di segmentazione aziendale definita nel controllo di sicurezza GS-2. Qualsiasi carico di lavoro che potrebbe comportare un rischio maggiore per l'organizzazione deve risiedere in reti virtuali isolate. Tra gli esempi di carico di lavoro ad alto rischio sono inclusi:

  • Un'applicazione che archivia o elabora dati altamente sensibili.
  • Un'applicazione di rete esterna accessibile da utenti pubblici o esterni all'organizzazione.
  • Un'applicazione che usa architettura non sicura o che contiene vulnerabilità che non possono essere facilmente risolte.

Per migliorare la strategia di segmentazione aziendale, limitare o monitorare il traffico tra le risorse interne usando i controlli di rete. Per applicazioni specifiche e ben definite, ad esempio un'app a 3 livelli, questo può essere un approccio di tipo "negato per impostazione predefinita, consentito per eccezione" limitando le porte, i protocolli, l'origine e gli indirizzi IP di destinazione del traffico di rete. Se sono presenti molte applicazioni ed endpoint che interagiscono tra loro, il blocco del traffico potrebbe compromettere la scalabilità ed è possibile che si riesca solo a monitorare solo il traffico.

Linee guida di Azure: creare una rete virtuale (VNet) come approccio di segmentazione fondamentale nella rete di Azure, in modo che le risorse come le macchine virtuali possano essere distribuite nella rete virtuale all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno della rete virtuale per reti secondarie più piccole.

Usare i gruppi di sicurezza di rete come controllo del livello di rete per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione.

È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare una configurazione complessa. Anziché definire i criteri in base agli indirizzi IP nei gruppi di sicurezza di rete, i gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

NS-2: Proteggere i servizi cloud con controlli di rete

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Principio di sicurezza: proteggere i servizi cloud stabilendo un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso dalla rete pubblica quando possibile.

Linee guida di Azure: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso alla rete pubblica ai servizi, ove possibile.

Per determinati servizi, è anche possibile distribuire l'integrazione della rete virtuale per il servizio in cui è possibile limitare la rete virtuale per stabilire un punto di accesso privato per il servizio.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 3: Distribuire il firewall nella rete perimetrale aziendale

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Principio di sicurezza: distribuire un firewall per eseguire filtri avanzati sul traffico di rete da e verso reti esterne. È anche possibile usare firewall tra segmenti interni per supportare una strategia di segmentazione. Se necessario, usare route personalizzate per la subnet per eseguire l'override della route di sistema quando è necessario forzare il traffico di rete affinché passi attraverso un'appliance di rete per il controllo della sicurezza.

Come minimo, bloccare gli indirizzi IP dannosi noti e i protocolli ad alto rischio, ad esempio la gestione remota (come RDP e SSH) e i protocolli Intranet (come SMB e Kerberos).

Linee guida di Azure: usare Firewall di Azure per fornire restrizioni del traffico a livello di applicazione con stato completo (ad esempio il filtro URL) e/o la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke).

Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub-spoke, potrebbe essere necessario creare route definite dall'utente per garantire che il traffico passi attraverso la route desiderata. Ad esempio, è possibile usare una route definita dall'utente per reindirizzare il traffico Internet in uscita tramite un Firewall di Azure specifico o un'appliance virtuale di rete.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 4: Distribuire sistemi di rilevamento/prevenzione intrusioni (IDS/IPS)

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Principio di sicurezza: usare il rilevamento delle intrusioni di rete e i sistemi di prevenzione delle intrusioni (IDS/IPS) per controllare il traffico di rete e payload da o verso il carico di lavoro. Assicurarsi che il sistema di rilevamento/prevenzione intrusioni (IDS/IPS) sia sempre ottimizzato per fornire avvisi di qualità elevata alla soluzione SIEM.

Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.

Linee guida di Azure: usare la funzionalità IDPS di Firewall di Azure nella rete per avvisare e/o bloccare il traffico da e verso indirizzi IP dannosi noti e domini.

Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host, ad esempio Microsoft Defender per endpoint, a livello di macchina virtuale in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 5: Distribuire la protezione DDoS

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Principio di sicurezza: distribuire la protezione DDoS (Distributed Denial of Service) per proteggere la rete e le applicazioni da attacchi.

Linee guida di Azure: abilitare il piano di protezione standard DDoS nella rete virtuale per proteggere le risorse esposte alle reti pubbliche.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

NS-6: Distribuire Web application firewall

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Principio di sicurezza: distribuire un web application firewall (WAF) e configurare le regole appropriate per proteggere le applicazioni Web e le API da attacchi specifici dell'applicazione.

Linee guida di Azure: usare le funzionalità web application firewall (WAF) nel gateway applicazione di Azure, in Frontdoor di Azure e nella rete per la distribuzione di contenuti di Azure per proteggere applicazioni, servizi e API da attacchi a livello di applicazione al perimetro della rete. Configurare web application firewall in "modalità di rilevamento" o "modalità di prevenzione", a seconda delle esigenze e del panorama delle minacce. Scegliere un set di regole predefinito, ad esempio le vulnerabilità OWASP Top 10 e ottimizzarlo per l'applicazione.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 7: Semplificare la configurazione di sicurezza della rete

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Principio di sicurezza: quando si gestisce un ambiente di rete complesso, usare gli strumenti per semplificare, centralizzare e migliorare la gestione della sicurezza di rete.

Linee guida di Azure: usare le funzionalità seguenti per semplificare l'implementazione e la gestione delle regole del gruppo di sicurezza di rete e di Firewall di Azure:

  • Usare la Protezione avanzata adattiva per la rete di Microsoft Defender per il cloud per consigliare regole di protezione avanzata del gruppo di sicurezza di rete che limitano ulteriormente porte, protocolli e indirizzi IP di origine in base all'intelligence sulle minacce e al risultato dell'analisi del traffico.
  • Usare Gestione firewall di Azure per centralizzare i criteri firewall e la gestione delle route della rete virtuale. Per semplificare l'implementazione delle regole del firewall e dei gruppi di sicurezza di rete, è anche possibile usare il modello di ARM (Azure Resource Manager) di Gestione firewall di Azure.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 8: Rilevare e disabilitare i servizi e i protocolli non sicuri

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Principio di sicurezza: rilevare e disabilitare i servizi e i protocolli non sicuri a livello di sistema operativo, applicazione o pacchetto software. Distribuire controlli di compensazione se non è possibile disabilitare i servizi e i protocolli non sicuri.

Linee guida di Azure: usare la cartella di lavoro predefinita del protocollo non sicuro di Azure Sentinel per individuare l'uso di servizi e protocolli non sicuri, ad esempio SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, binding LDAP non firmati e crittografie deboli in Kerberos. Disabilitare i servizi e i protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.

Nota: se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccare l'accesso alle risorse tramite gruppo di sicurezza di rete, Firewall di Azure o Web Application Firewall di Azure per ridurre la superficie di attacco.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 9: Connettere la rete locale o cloud privatamente

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
12.7 CA-3, AC-17, AC-4 Non disponibile

Principio di sicurezza: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di condivisione.

Linee guida di Azure: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di condivisione.

Per la connettività leggera da sito a sito o da punto a sito, usare la rete privata virtuale di Azure (VPN) per creare una connessione sicura tra il sito locale o il dispositivo utente finale alla rete virtuale di Azure.

Per la connessione con prestazioni elevate di livello aziendale, usare Azure ExpressRoute (o la rete WAN virtuale) per connettere i data center di Azure e l'infrastruttura locale in un ambiente di coubicazione.

Per la connessione di due o più reti virtuali di Azure, usare il peering di reti virtuali. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):

Sicurezza di rete 10: Garantire la sicurezza del DNS (Domain Name System)

ID dei controlli CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.9, 9.2 SC-20, SC-21 Non disponibile

Principio di sicurezza: assicurarsi che la configurazione di sicurezza DNS (Domain Name System) protegge da rischi noti:

  • Usare servizi DNS attendibili e ricorsivi nell'ambiente cloud per garantire che il client (ad esempio sistemi operativi e applicazioni) riceva il risultato della risoluzione corretto.
  • Separare la risoluzione DNS pubblica e privata in modo che il processo di risoluzione DNS per la rete privata possa essere isolato dalla rete pubblica.
  • Assicurarsi che la strategia di sicurezza per il DNS includa anche la prevenzione da attacchi comuni, ad esempio dangling DNS, attacchi di amplificazione DNS, DNS poisoning e spoofing e così via.

Indicazioni su Azure: usare DNS ricorsivo di Azure o un server DNS esterno attendibile nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.

Usare DNS privato di Azure per la configurazione della zona DNS privata in cui il processo di risoluzione DNS non esce dalla rete virtuale. Usare un DNS personalizzato per limitare la risoluzione DNS e consentire solo la risoluzione attendibile al client.

Usare Azure Defender per DNS per la protezione avanzata contro le minacce di sicurezza seguenti al carico di lavoro o al servizio DNS:

  • Esfiltrazione di dati dalle risorse di Azure tramite tunneling DNS
  • Malware che comunica con i server di comando e controllo
  • Comunicazione con domini dannosi come phishing e crypto mining
  • Attacchi DNS nella comunicazione con resolver DNS dannosi

È anche possibile usare Azure Defender per il servizio app per rilevare i record DNS interrotti qualora venga ritirato un sito Web del servizio app senza rimuovere il dominio personalizzato corrispondente dal registrar DNS.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Scopri di più):