Introduzione all'architettura di riferimento per la sicurezza informatica e al benchmark per la sicurezza del cloud di Microsoft
Questo modulo illustra le procedure consigliate per le funzionalità e i controlli di cybersecurity, essenziali per ridurre il rischio che utenti malintenzionati riescano nel loro intento.
Obiettivi di apprendimento
Contenuto del modulo
- Usare Microsoft Cybersecurity Reference Architecture (MCRA) per progettare soluzioni più sicure.
- Usare Microsoft Cloud Security Benchmark (MCSB) per progettare soluzioni più sicure.
Il contenuto del modulo consente di prepararsi all'esame di certificazione SC-100: Microsoft Cybersecurity Architect.
Prerequisiti
- Conoscenza dei concetti relativi a criteri di sicurezza, requisiti, architettura Zero Trust e gestione degli ambienti ibridi
- Esperienza pratica con strategie Zero Trust, applicazione di criteri di sicurezza e sviluppo di requisiti di sicurezza in base agli obiettivi aziendali
Panoramica di MCRA
Le architetture di riferimento MCRA (Microsoft Cybersecurity Reference Architectures) sono un set di diagrammi tecnici che descrivono le funzionalità di cybersecurity di Microsoft. I diagrammi descrivono il modo in cui le funzionalità di sicurezza Microsoft si integrano con quanto segue:
- Piattaforme Microsoft come Microsoft 365 e Microsoft Azure
- App di terze parti come ServiceNow e Salesforce
- Piattaforme di terze parti come Amazon Web Services (AWS) e Google Cloud Platform (GCP)
MCRA contiene diagrammi negli argomenti seguenti:
- Funzionalità di cybersecurity Microsoft
- Zero Trust e Piano di modernizzazione rapida Zero Trust (RaMP)
- Accesso utente Zero Trust
- Operazioni per la sicurezza
- Tecnologia operativa
- Funzionalità multicloud e multipiattaforma
- Copertura della catena di attacchi
- Controlli di sicurezza nativi di Azure
- Funzioni organizzative di sicurezza
Panoramica di MCSB
Nuovi servizi e funzionalità vengono rilasciati ogni giorno in Azure e in altre piattaforme cloud. Gli sviluppatori pubblicano rapidamente nuove applicazioni cloud basate su questi servizi e gli utenti malintenzionati sono sempre alla ricerca di nuovi modi per sfruttare le risorse configurate in modo non corretto. Il cloud progredisce rapidamente, proprio come gli sviluppatori e gli utenti malintenzionati. Come è possibile tenere il passo e assicurarsi che le distribuzioni cloud siano sicure? In che modo le procedure di sicurezza per i sistemi cloud sono diverse dai sistemi locali e diverse tra i provider di servizi cloud? Come si monitora il carico di lavoro per garantire la coerenza tra più piattaforme cloud?
Microsoft ha rilevato che l'uso dei benchmark di sicurezza consente di proteggere rapidamente le distribuzioni cloud. Un framework di procedure consigliate per la sicurezza completo dei provider di servizi cloud può offrire un punto di partenza per la selezione di impostazioni di configurazione di sicurezza specifiche nell'ambiente cloud, in più provider di servizi e consente di monitorare queste configurazioni usando un unico pannello di controllo.
Controlli di sicurezza
Un controllo è una descrizione generale di una funzionalità o di un'attività consigliata che deve essere risolto. I controlli non sono specifici di una tecnologia o di un'implementazione. Le raccomandazioni relative al controllo della sicurezza sono applicabili a più carichi di lavoro cloud. Ogni controllo viene numerato e le relative raccomandazioni identificano un elenco di stakeholder che in genere sono coinvolti nella pianificazione, nell'approvazione o nell'implementazione del benchmark.
Domini di controlli/famiglie di controlli MCSB
Nei controlli MCSB vengono raggruppati in "famiglie" o "domini". La tabella seguente riepiloga i domini di controllo di sicurezza in MCSB:
| Domini di controllo | Descrizione |
|---|---|
| Sicurezza di rete | La sicurezza di rete riguarda i controlli per proteggere le reti, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS. |
| Gestione delle identità (IM) | La gestione delle identità include i controlli per stabilire controlli di identità e accessi sicuri usando sistemi di gestione delle identità e degli accessi, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (ed entità servizio) per le applicazioni, accesso condizionale e monitoraggio delle anomalie degli account. |
| Accesso con privilegi (PA) | L'accesso con privilegi riguarda i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e accidentali. |
| Protezione dati | La protezione dati include il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuazione, classificazione, protezione e monitoraggio degli asset di dati sensibili usando il controllo di accesso, la crittografia, la gestione delle chiavi e la gestione dei certificati. |
| Gestione degli asset | Gestione asset copre i controlli per garantire visibilità e governance della sicurezza sulle risorse. Sono incluse raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per servizi e risorse (inventario, traccia e correzione). |
| Registrazione e rilevamento delle minacce (LT) | La registrazione e il rilevamento delle minacce include i controlli per rilevare le minacce nel cloud e abilitare, raccogliere e archiviare i log di controllo per i servizi cloud, tra cui l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di qualità elevata con il rilevamento delle minacce nativo nei servizi cloud. Include anche la raccolta di log con un servizio di monitoraggio cloud, la centralizzazione dell'analisi della sicurezza con SIEM, la sincronizzazione dell'ora e la conservazione dei log. |
| Risposta agli eventi imprevisti. | La risposta agli eventi imprevisti include i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, oltre all'uso di servizi di Azure (ad esempio Microsoft Defender per il cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti. |
| Gestione della postura e delle vulnerabilità | La gestione della postura e delle vulnerabilità è incentrata sui controlli per valutare e migliorare la postura di sicurezza del cloud e include l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione di sicurezza, la creazione di report e la correzione nelle risorse cloud. |
| Sicurezza degli endpoint | La sicurezza degli endpoint include i controlli di rilevamento e reazione dagli endpoint, tra cui l'uso di Rilevamento e reazione dagli endpoint e del servizio antimalware per gli endpoint negli ambienti cloud. |
| Backup e ripristino (BR) | Backup e ripristino include i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti. |
| Sicurezza DevOps | Sicurezza DevOps include i controlli correlati alla progettazione e alle operazioni di sicurezza nei processi DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statici e gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza durante il processo DevOps. Include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza dell'approvvigionamento software. |
| Governance e strategia | Governance e strategia fornisce indicazioni per garantire una strategia di sicurezza coerente e un approccio alla governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui definizione di ruoli e responsabilità per le diverse funzioni di sicurezza del cloud, strategia tecnica unificata e criteri e standard di supporto. |
Baseline del servizio
Le baseline di sicurezza sono documenti standardizzati per le offerte di prodotti di Azure, che descrivono le funzionalità di sicurezza disponibili e le configurazioni di sicurezza ottimali per migliorare la sicurezza attraverso strumenti, monitoraggio e funzionalità di sicurezza migliorati. Attualmente le baseline del servizio sono disponibili solo per Azure.
Le baseline di sicurezza per Azure riguardano principalmente aree di controllo incentrate sul cloud negli ambienti di Azure. Questi controlli sono coerenti con standard di settore noti, come quelli del Center for Internet Security (CIS) o del National Institute for Standards in Technology (NIST). Le nostre baseline forniscono indicazioni per le aree di controllo elencate in Microsoft cloud Security Benchmark v1.
Ogni baseline è costituita dai componenti seguenti:
- Come si comporta un servizio?
- Quali funzionalità di sicurezza sono disponibili?
- Quali configurazioni sono consigliate per proteggere il servizio?
Implementare Microsoft Cloud Security Benchmark
- Pianificare l'implementazione di Microsoft Cloud Security Benchmark esaminando la documentazione relativa ai controlli aziendali e alle baseline specifiche del servizio per pianificare il framework di controllo e il modo in cui è mappato alle indicazioni come i controlli Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e il framework PCI-DSS (Payment Card Industry Data Security Standard).
- Monitorare la conformità con lo stato di Microsoft Cloud Security Benchmark (e altri set di controlli) usando il dashboard di conformità alle normative di Microsoft Defender per il cloud per l'ambiente multi-cloud.
- Stabilire protezioni per automatizzare le configurazioni sicure e applicare la conformità con Microsoft Cloud Security Benchmark (e altri requisiti dell'organizzazione) usando funzionalità come Azure Blueprints, Criteri di Azure o le tecnologie equivalenti di altre piattaforme cloud.
Casi d'uso comuni
Microsoft Cloud Security Benchmark viene spesso usato per risolvere queste problematiche comuni per i clienti o i partner di servizi che:
- Sono nuovi utenti di Azure (o di altre principali piattaforme cloud, ad esempio AWS) e sono alla ricerca di procedure consigliate per la sicurezza per garantire una distribuzione sicura dei servizi cloud e del carico di lavoro dell'applicazione.
- Vogliono migliorare il comportamento di sicurezza delle distribuzioni cloud esistenti dando la priorità ai rischi principali e ai modi per mitigarli.
- Usano ambienti multicloud (ad esempio Azure e AWS) e riscontrano difficoltà nell'allineamento del monitoraggio e della valutazione del controllo di sicurezza usando un unico pannello.
- Valutano le funzionalità/caratteristiche di sicurezza di Azure (e di altre principali piattaforme cloud, ad esempio AWS) prima di eseguire l'onboarding/approvare uno o più servizi nel catalogo dei servizi cloud.
- Devono soddisfare i requisiti di conformità in settori altamente regolamentati, ad esempio enti pubblici, finanza e sanità. Questi clienti devono assicurarsi che le configurazioni del servizio di Azure e di altri cloud soddisfino la specifica di sicurezza definita nel framework, ad esempio CIS, NIST o PCI. MSCB offre un approccio efficiente con controlli già pre-mappati a questi benchmark di settore.
Terminologia
I termini "controllo" e "baseline" vengono spesso usati nella documentazione di Microsoft Cloud Security Benchmark. È importante comprendere in che modo MCSB usa questi termini.
| Termine | Descrizione | Esempio |
|---|---|---|
| Controllo | Un controllo è una descrizione generale di una funzionalità o di un'attività che deve essere presa in considerazione e che non è specifica di una tecnologia o di un'implementazione. | La protezione dei dati è una delle famiglie dei controlli di sicurezza. La protezione dei dati contiene azioni specifiche necessarie per garantire la protezione dei dati. |
| Di base | Una baseline è l'implementazione del controllo sui singoli servizi di Azure. Ogni organizzazione decide le raccomandazioni del benchmark e le configurazioni corrispondenti necessarie in Azure. Nota: attualmente le baseline del servizio sono disponibili solo per Azure. | L'azienda Contoso vuole abilitare le funzionalità di sicurezza di Azure SQL seguendo la configurazione consigliata nella baseline di sicurezza di Azure SQL. |