Azure Local and ISO/IEC 27001:2022

Questo articolo illustra in che modo Azure Local aiuta le organizzazioni a soddisfare i requisiti di controllo di sicurezza di ISO/IEC 27001:2022, sia nel cloud che in locale. Altre informazioni sugli standard di sicurezza locali e di sicurezza di Azure sono disponibili negli standard di sicurezza e locali di Azure.

ISO/IEC 27001:2022

ISO/IEC 27001 è uno standard di sicurezza globale che specifica i requisiti per stabilire, implementare, operare, monitorare, gestire e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS). La certificazione per ISO/IEC 27001:2022 consente alle organizzazioni di migliorare il comportamento di sicurezza, di creare fiducia con i propri clienti e di soddisfare diversi obblighi legali e normativi che coinvolgono la sicurezza delle informazioni, ad esempio PCI DSS, HIPAA, HITRUST e FedRAMP. Per altre informazioni sullo standard, vedere ISO/IEC 27001.

Locale di Azure

Locale di Azure è una soluzione ibrida che offre una perfetta integrazione tra l'infrastruttura locale delle organizzazioni e i servizi cloud di Azure, contribuendo a consolidare carichi di lavoro e contenitori virtualizzati e a ottenere efficienza cloud quando i dati devono rimanere in locale per motivi legali o di privacy. Le organizzazioni che cercano la certificazione ISO/IEC 27001:2022 per le proprie soluzioni devono considerare sia il cloud che gli ambienti locali.

Servizi cloud connessi

Azure Local offre un'integrazione approfondita con diversi servizi di Azure, ad esempio Monitoraggio di Azure, Backup di Azure e Azure Site Recovery, per offrire nuove funzionalità all'ambiente ibrido. Questi servizi cloud vengono sottoposti a controlli di terze parti indipendenti regolari per la conformità ISO/IEC 27001:2022. È possibile esaminare il certificato e il report di controllo ISO/IEC 27001:2022 in Offerte di conformità di Azure - ISO/IEC 27001:2022.

Importante

Lo stato di conformità di Azure non conferisce l'accreditamento ISO/IEC 27001 per i servizi che un'organizzazione compila o ospita nella piattaforma Azure. Le organizzazioni sono responsabili della conformità delle operazioni ai requisiti ISO/IEC 27001:2022.

Soluzioni locali

In locale, Azure Local offre una serie di funzionalità che consentono alle organizzazioni di soddisfare i requisiti di sicurezza di ISO/IEC 27001:2022. Le sezioni seguenti forniscono altre informazioni.

Funzionalità locali di Azure rilevanti per ISO/IEC 27001:2022

Questa sezione illustra come le organizzazioni possono usare la funzionalità locale di Azure per soddisfare i controlli di sicurezza nell'allegato A di ISO/IEC 27001:2022. Le informazioni seguenti riguardano solo i requisiti tecnici. I requisiti correlati alle operazioni di sicurezza non rientrano nell'ambito, perché azure locale non può influire su di essi. Le linee guida sono organizzate in base ai nove domini dell'Allegato A:

• Sicurezza di rete
• Gestione delle identità e degli accessi
• Protezione dei dati
• Registrazione
• Monitoraggio
• Configurazione sicura
• Protezione dalle minacce
• Backup e ripristino
• Scalabilità e disponibilità

Le linee guida contenute in questo articolo illustrano come usare le funzionalità locali di Azure per soddisfare i requisiti di ogni dominio. È importante notare che non tutti i controlli sono obbligatori. Le organizzazioni devono analizzare il proprio ambiente ed eseguire la valutazione dei rischi per determinare quali controlli sono necessari. Per altre informazioni sui requisiti, vedere ISO/IEC 27001.

Sicurezza di rete

La funzionalità di sicurezza di rete descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.20 - Sicurezza di rete
• 8.21 - Sicurezza dei servizi di rete
• 8.22 - Separazione delle reti
• 8.23 - Filtro Web

Con Azure Locale è possibile applicare controlli di sicurezza di rete per proteggere la piattaforma e i carichi di lavoro in esecuzione da minacce di rete all'esterno e all'interno. Azure Local garantisce anche un'allocazione di rete equa in un host e migliora le prestazioni e la disponibilità dei carichi di lavoro con funzionalità di bilanciamento del carico. Altre informazioni sulla sicurezza di rete in Locale di Azure sono disponibili negli articoli seguenti.

• Panoramica del firewall del data center
• Bilanciamento del carico software (SLB) per la rete SDN (Software Define Network)
• Gateway RAS (Remote Access Service) per SDN
• Criteri di qualità del servizio per i carichi di lavoro ospitati in Locale di Azure

Gestione delle identità e dell'accesso

La funzionalità di gestione delle identità e degli accessi descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.2 - Diritti di accesso con privilegi
• 8.3 - Restrizioni di accesso alle informazioni
• 8.5 - Autenticazione sicura

Azure Local offre accesso completo e diretto al sistema sottostante in esecuzione nei computer tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud come Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori (MFA), l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.

Altre informazioni sulla gestione delle identità e degli accessi locali sono disponibili in Microsoft Identity Manager e Privileged Access Management per i servizi di Dominio di Active Directory. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud sono disponibili in Microsoft Entra ID.

Protezione dei dati

La funzionalità di protezione dei dati descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.5 - Autenticazione sicura
• 8.20 - Sicurezza di rete
• 8.21 - Sicurezza dei servizi di rete
• 8.24 - Uso della crittografia

Crittografia dei dati con BitLocker

Nelle istanze locali di Azure è possibile crittografare tutti i dati inattivi tramite la crittografia bitlocker XTS-AES a 256 bit. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione locale di Azure. Per tutti i nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario attivare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).

Protezione del traffico di rete esterno con TLS/DTLS

Per impostazione predefinita, tutte le comunicazioni host verso endpoint locali e remoti vengono crittografate con TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Local supporta anche pacchetti di crittografia sicuri come curve ellittiche conformi a SDL limitate alle curve NIST solo P-256 e P-384.

Protezione del traffico di rete interno con Server Message Block (SMB)

La firma SMB è abilitata per impostazione predefinita per le connessioni client nelle istanze locali di Azure. Per il traffico all'interno del cluster, la crittografia SMB è un'opzione che le organizzazioni possono abilitare durante o dopo la distribuzione per proteggere i dati in transito tra sistemi. I pacchetti di crittografia AES-256-GCM e AES-256-CCM sono ora supportati dal protocollo SMB 3.1.1 usato dal traffico di file client-server e dall'infrastruttura di dati all'interno del cluster. Il protocollo continua a supportare anche la suite AES-128 più compatibile. Per altre informazioni, vedere Miglioramenti della sicurezza SMB.

Registrazione

La funzionalità di registrazione descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.15 - Registrazione
• 8.17 - Sincronizzazione dell'orologio

Log di sistema locali

Per impostazione predefinita, tutte le operazioni eseguite all'interno dell'istanza locale di Azure vengono registrate in modo da poter tenere traccia di chi ha fatto cosa, quando e dove si trova nella piattaforma. Sono inclusi anche i log e gli avvisi creati da Windows Defender per prevenire, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Tuttavia, poiché il log di sistema spesso contiene un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati a scopo di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure locale .

Log attività locali

Azure Local Lifecycle Manager crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi e monitoraggio più approfonditi.

Log attività cloud

Registrando i sistemi con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per le operazioni di scrittura (inserimento, post o eliminazione) eseguite sulle risorse nella sottoscrizione.

Log delle identità cloud

Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio e gestione degli eventi di sicurezza e gestione degli eventi di sicurezza e monitoraggio per casi d'uso avanzati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per usare i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio organizzazione.

Integrazione SIEM

Microsoft Defender per il cloud e Microsoft Sentinel sono integrati in modo nativo con i computer locali di Azure abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che fornisce la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme anche a molti standard di sicurezza ben definiti, ad esempio ISO/IEC 27001, che possono essere utili per il processo di certificazione. Inoltre, Locale di Azure fornisce un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema alle soluzioni SIEM di terze parti.

Monitoraggio

La funzionalità di monitoraggio descritta in questa sezione consente di soddisfare i controlli di sicurezza seguenti specificati nello standard ISO/IEC 27001.

• 8.15 - Registrazione

Insights for Azure Local

Insights for Azure Local consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i sistemi connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio sia per i sistemi a nodo singolo che per i sistemi multinodo dalla pagina delle risorse locali di Azure o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare l'ambiente locale di Azure con Informazioni dettagliate.

Metriche per Azure Locale

Le metriche per Azure Local archivia i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e tracciare i valori di più metriche nel tempo. Con Le metriche è possibile creare grafici dai valori delle metriche e correlare visivamente le tendenze.

Avvisi relativi ai log

Per indicare problemi in tempo reale, configurare gli avvisi per Azure Local, usando query di log di esempio preesistenti, ad esempio CPU del server medio, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per i sistemi locali di Azure.

Avvisi delle metriche

Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.

Avvisi del servizio e dei dispositivi

Azure Locale offre avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare le istanze locali di Azure e i relativi componenti sottostanti usando PowerShell o Servizio integrità.

Configurazione sicura

La funzionalità di configurazione sicura descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.8 - Gestione delle vulnerabilità tecniche
• 8.9 - Gestione della configurazione

Protezione per impostazione predefinita

Azure Local è configurato in modo sicuro per impostazione predefinita con strumenti e tecnologie di sicurezza che proteggono dalle minacce moderne e si allineano alle baseline di sicurezza di calcolo di Azure. Per altre informazioni, vedere Gestire le impostazioni predefinite per la sicurezza per Azure Locale.

Protezione deriva

La configurazione di sicurezza predefinita e le impostazioni di base protette della piattaforma sono protette sia durante la distribuzione che il runtime con protezione del controllo deriva. Se abilitata, la protezione del controllo deriva aggiorna regolarmente le impostazioni di sicurezza ogni 90 minuti per assicurarsi che le modifiche apportate allo stato specificato vengano corrette. Questo monitoraggio continuo e correzione automatica consente di avere una configurazione di sicurezza coerente e affidabile per tutto il ciclo di vita del dispositivo. È possibile disabilitare la protezione dalla deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.

Baseline di sicurezza per il carico di lavoro

Per i carichi di lavoro in esecuzione in Locale di Azure, è possibile usare la baseline del sistema operativo consigliato di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.

Aggiornamento della piattaforma

Tutti i componenti di Azure Local, inclusi il sistema operativo, gli agenti e i servizi principali e l'estensione della soluzione, possono essere gestiti facilmente con Lifecycle Manager. Questa funzionalità consente di aggregare componenti diversi in una versione di aggiornamento e convalida la combinazione di versioni per garantire l'interoperabilità. Per altre informazioni, vedere Lifecycle Manager per gli aggiornamenti della soluzione locale di Azure.

I carichi di lavoro dei clienti non sono coperti da questa soluzione di aggiornamento.

Protezione dalle minacce

La funzionalità di protezione dalle minacce in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.7 - Protezione da malware

Windows Defender Antivirus

Windows Defender Antivirus è un'applicazione di utilità che consente di applicare l'analisi del sistema in tempo reale e l'analisi periodica per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Antivirus Microsoft Defender è abilitato in Locale di Azure. Microsoft consiglia di usare Antivirus Microsoft Defender con il software e i servizi di rilevamento antivirus e malware locali di Azure anziché con software e servizi di rilevamento malware di terze parti, in quanto possono influire sulla capacità del sistema operativo di ricevere gli aggiornamenti. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.

Controllo di applicazioni di Windows Defender (WDAC)

Windows Defender Application Control (WDAC) è abilitato per impostazione predefinita in Locale di Azure per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni computer, evitando che il malware acceda ai sistemi. Altre informazioni sui criteri di base inclusi in Locale di Azure e su come creare criteri supplementari in Controllo delle applicazioni di Windows Defender per Azure Locale.

Microsoft Defender for Cloud

Microsoft Defender per il cloud con Endpoint Protection (abilitato tramite il piano Defender per server) offre una soluzione di gestione della sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.

Backup e ripristino

La funzionalità di backup e ripristino descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.7 - Protezione da malware
• 8.13 - Backup delle informazioni
• 8.14 - Ridondanza delle informazioni

Cluster esteso

Azure Local offre il supporto predefinito per il ripristino di emergenza di carichi di lavoro virtualizzati tramite il clustering esteso. Distribuendo un'istanza locale di Azure estesa, è possibile replicare in modo sincrono i carichi di lavoro virtualizzati in due posizioni locali separate e eseguirne automaticamente il failover tra di essi. I failover del sito pianificati possono verificarsi senza tempi di inattività tramite la migrazione in tempo reale di Hyper-V.

Nodi del cluster Kubernetes

Se si usa Locale di Azure per ospitare distribuzioni basate su contenitori, la piattaforma consente di migliorare l'agilità e la resilienza intrinseche alle distribuzioni di Azure Kubernetes. Azure Local gestisce il failover automatico delle macchine virtuali che fungono da nodi del cluster Kubernetes se si verifica un errore localizzato dei componenti fisici sottostanti. Questa configurazione è a supplemento della disponibilità elevata incorporata in Kubernetes, che riavvia automaticamente i contenitori in errore nella stessa macchina virtuale o in un'altra.

Azure Site Recovery

Questo servizio consente di replicare i carichi di lavoro in esecuzione nelle macchine virtuali locali di Azure locali nel cloud in modo che il sistema informativo possa essere ripristinato in caso di evento imprevisto, errore o perdita di supporti di archiviazione. Analogamente ad altri servizi cloud di Azure, Azure Site Recovery ha un lungo record di certificati di sicurezza, tra cui HITRUST, che è possibile usare per supportare il processo di accreditamento. Per altre informazioni, vedere Proteggere i carichi di lavoro delle macchine virtuali con Azure Site Recovery in Locale di Azure.

Server di Backup di Microsoft Azure (MABS)

Questo servizio consente di eseguire il backup di macchine virtuali locali di Azure, specificando una frequenza e un periodo di conservazione desiderati. È possibile usare MABS per eseguire il backup della maggior parte delle risorse nell'ambiente, tra cui:

• Stato del sistema/Ripristino bare metal (BMR) dell'host locale di Azure
• Macchine virtuali guest in un sistema con archiviazione locale o collegata direttamente
• Macchine virtuali guest in istanze locali di Azure con archiviazione CSV
• Spostamento di macchine virtuali all'interno di un cluster

Per altre informazioni, vedere Eseguire il backup di macchine virtuali locali di Azure con Backup di Azure Server.

Disponibilità e scalabilità

La funzionalità di scalabilità e disponibilità descritta in questa sezione consente di soddisfare i requisiti di controllo di sicurezza seguenti di ISO/IEC 27001.

• 8.6 - Gestione della capacità
• 8.14 - Ridondanza delle informazioni

Modelli iperconvergenti

Azure Local usa modelli iperconvergenti di Spazi di archiviazione diretta per distribuire i carichi di lavoro. Questo modello di distribuzione consente di ridimensionare facilmente aggiungendo nuovi nodi che espandono automaticamente il calcolo e l'archiviazione contemporaneamente senza tempi di inattività.

Cluster di failover

Le istanze locali di Azure sono cluster di failover. Se un server che fa parte di Azure Local ha esito negativo o diventa non disponibile, un altro server nello stesso cluster di failover assume l'attività di fornire i servizi offerti dal nodo non riuscito. Per creare un cluster di failover, abilitare Spazi di archiviazione direttamente in più computer che eseguono Azure Local.