Specificare i requisiti di sicurezza per i carichi di lavoro IoT
Questa unità riepiloga la baseline di sicurezza di Azure per l’hub IoT per facilitare la creazione di nuove specifiche dei requisiti per i carichi di lavoro IoT.
Per altre informazioni su Microsoft Cloud Security Benchmark, vedere Introduzione all'architettura di riferimento per la cybersecurity e al benchmark per la sicurezza del cloud di Microsoft.
Nella tabella seguente sono inclusi i controlli della baseline completa in cui:
- I controlli di sicurezza erano supportati ma non abilitati per impostazione predefinita
- Erano presenti indicazioni esplicite che contenevano le azioni da intraprendere da parte del cliente
| Area | Controllo | Funzionalità | Riepilogo delle indicazioni |
|---|---|---|---|
| Sicurezza di rete | Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete | Collegamento privato di Azure | Distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato, per stabilire un punto di accesso privato per le risorse. |
| Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete | Disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un interruttore per l'accesso alla rete pubblica. | |
| Gestione delle identità | IM-1: usare un sistema di identità e autenticazione centralizzato | Metodi di autenticazione locali per l'accesso al piano dati | Limitare l'uso dei metodi di autenticazione locale per l'accesso al piano dati. Usare invece Microsoft Entra ID come metodo di autenticazione predefinito per controllare l'accesso al piano dati. |
| IM-3: gestire le identità delle applicazioni in modo sicuro e automatico | Identità gestite | Usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Microsoft Entra. Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione. | |
| Entità servizio | Non sono disponibili linee guida Microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza. | ||
| IM-7: limitare l'accesso alle risorse in base alle condizioni | Accesso condizionale per il piano dati | Definire le condizioni e i criteri applicabili per l'accesso condizionale di Microsoft Entra nel carico di lavoro. | |
| Accesso con privilegi | PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi) | Controllo degli accessi in base al ruolo di Azure per il piano dati | Con Azure AD e il controllo degli accessi in base al ruolo, l’hub IoT richiede all'entità di sicurezza di disporre del livello di privilegi appropriati per l'autorizzazione. Per concedere l'autorizzazione all’entità, dargli un'assegnazione di ruolo. |
| Protezione dei dati | DP-6: Usare un processo di gestione delle chiavi sicure | Gestione delle chiavi - Azure Key Vault | Usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e nel servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. |
| Gestione cespiti | AM-2: Utilizzare solo servizi approvati | Supporto di Criteri di Azure | Usare Microsoft Defender per il cloud per configurare Criteri di Azure in modo da controllare e applicare le configurazioni delle risorse di Azure. |
| Registrazione e rilevamento delle minacce | LT-4: Abilitare la registrazione per l'analisi della sicurezza | Log delle risorse di Azure | Abilitare i log delle risorse per il servizio. |