Introduzione
Microsoft Defender for Cloud confronta continuamente la configurazione delle risorse con i requisiti di benchmark, normative e standard del settore.
Per comprendere in che modo Security Posture Management valuta un ambiente, è importante comprendere i criteri e le iniziative di sicurezza.
Che cosa sono i criteri e le iniziative di sicurezza
Microsoft Defender per il cloud applica iniziative di sicurezza alle sottoscrizioni. Queste iniziative contengono uno o più criteri di sicurezza. Ognuno di questi criteri genera una raccomandazione sulla sicurezza per migliorare il comportamento di sicurezza.
Cosa sono i criteri di sicurezza?
Una definizione di Criteri di Azure, creata in Criteri di Azure, è una regola relativa a condizioni di sicurezza specifiche che si desidera tenere sotto controllo. Le definizioni predefinite includono aspetti come il controllo del tipo di risorse che può essere distribuito o l'applicazione dell'uso di tag in tutte le risorse. È anche possibile creare una definizione di criteri personalizzata.
Per implementare queste definizioni di criteri (predefinite o personalizzate), è necessario assegnarle. È possibile assegnare uno qualsiasi di questi criteri tramite il portale di Azure, PowerShell o l’interfaccia della riga di comando di Azure. I criteri possono essere disabilitati o abilitati dal servizio Criteri di Azure.
Esistono tipi diversi di criteri in Criteri di Azure. Defender per il cloud usa principalmente criteri di controllo che verificano condizioni e configurazioni specifiche e quindi relazionano sulla conformità. Esistono anche i criteri di imposizione che possono essere usati per applicare impostazioni sicure.
Che cos'è un'iniziativa di sicurezza?
Un'iniziativa di Criteri di Azure è una raccolta di definizioni, o di regole, di Criteri di Azure raggruppate in base a un obiettivo o a uno scopo specifico. Le iniziative di Azure semplificano la gestione dei criteri raggruppando un set di criteri, in modo logico, come singolo elemento.
Un'iniziativa di sicurezza definisce la configurazione desiderata dei carichi di lavoro e aiuta a garantire la conformità ai requisiti di sicurezza dell'azienda o delle autorità di regolamentazione.
Come i criteri di sicurezza, anche le iniziative di Defender per il cloud vengono create in Criteri di Azure. È possibile usare Criteri di Azure per gestire i criteri, creare le iniziative e assegnarle a più sottoscrizioni o per interi gruppi di gestione.
L'iniziativa predefinita assegnata automaticamente a ogni sottoscrizione in Microsoft Defender per il cloud è Azure Security Benchmark. Questo benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
Defender per il cloud offre le opzioni seguenti per usare le iniziative e i criteri di sicurezza:
Visualizzazione e modifica dell'iniziativa predefinita integrata: quando si abilita Defender per il cloud, l'iniziativa denominata "Azure Security Benchmark" viene automaticamente assegnata a tutte le sottoscrizioni registrate di Defender per il cloud. Per personalizzare questa iniziativa, è possibile abilitare o disabilitare singoli criteri al suo interno modificando i parametri dei criteri. Per informazioni sulle opzioni disponibili come predefinite, vedere l'elenco dei criteri di sicurezza predefiniti.
Aggiungere iniziative personalizzate: se si vogliono personalizzare le iniziative di sicurezza applicate alla sottoscrizione, è possibile farlo in Defender per il cloud. Si riceveranno raccomandazioni se i computer non seguono i criteri creati. Per istruzioni sulla creazione e l'assegnazione di criteri personalizzati, vedere "Uso di iniziative e criteri di sicurezza personalizzati".
Aggiunta di standard di conformità alle normative come iniziative: il dashboard di conformità alle normative di Defender per il cloud mostra lo stato di tutte le valutazioni all'interno dell'ambiente, nel contesto di un particolare standard o regolamento (ad esempio CIS di Azure, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020).
Che cos'è un suggerimento per la sicurezza?
Defender per il cloud usa i criteri per analizzare periodicamente lo stato di conformità delle risorse per identificare possibili errori di configurazione e punti deboli della sicurezza. Fornisce quindi raccomandazioni su come correggere tali problemi. Le raccomandazioni sono il risultato della valutazione delle risorse rispetto ai criteri rilevanti e dell'identificazione delle risorse che non rispettano i requisiti definiti.
Defender per il cloud crea raccomandazioni di sicurezza in base alle iniziative scelte. Quando un criterio dell'iniziativa viene confrontato con le risorse e riscontra una o più risorse non conformi, viene presentato come raccomandazione in Defender per il cloud.
Le raccomandazioni sono azioni da intraprendere per proteggere e rendere più sicure le risorse. Ogni raccomandazione fornisce le informazioni seguenti:
- Breve descrizione del problema
- La procedura di correzione da eseguire per implementare la raccomandazione
- Risorse interessate
Azure Security Benchmark è un'iniziativa che contiene requisiti.
Gli account di Archiviazione di Azure, ad esempio, devono limitare l'accesso alla rete per ridurre la superficie di attacco.
L'iniziativa include più criteri, ognuno con un requisito relativo a un tipo di risorsa specifico. Questi criteri applicano i requisiti dell'iniziativa.
Per continuare l'esempio, il requisito per l'archiviazione viene applicato con il criterio "Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale".
Microsoft Defender for Cloud valuta continuamente le sottoscrizioni connesse. Se trova una risorsa che non soddisfa un criterio, visualizza una raccomandazione per risolvere la situazione e rafforzare la sicurezza delle risorse che non soddisfano i requisiti di sicurezza.
Se ad esempio un account di Archiviazione di Azure in una delle sottoscrizioni protette non è protetto con regole di rete virtuale, verrà visualizzata la raccomandazione di applicare una protezione avanzata a tali risorse.
Quindi, (1) un'iniziativa include (2) criteri che generano (3) raccomandazioni specifiche per l'ambiente.
Si supponga di avere il ruolo di Security Operations Analyst presso un'azienda che usa Security Posture Management di Microsoft Defender per il cloud. Si è responsabili della conformità alle normative delle risorse cloud ibride.
È necessario migliorare il numero di controlli che superano Azure Security Benchmark come visualizzato in Microsoft Defender per il cloud.
Ora che si ha familiarità con i criteri di sicurezza di Microsoft Defender per il cloud, le iniziative e le raccomandazioni, è possibile visualizzarlo in azione.
Nota
Selezionare l'immagine di anteprima per avviare la simulazione del lab. Al termine, assicurarsi di tornare a questa pagina per continuare con l'apprendimento.
