Condividi tramite


Baseline di sicurezza di Azure per Registro Container

Questa baseline di sicurezza applica linee guida da Microsoft Cloud Security Benchmark versione 1.0 a Registro Container. Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili al Registro Container.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili al Registro Container sono state escluse. Per informazioni sul mapping completo del Registro Container al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza del Registro Container.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Registro Container, che possono comportare un aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Calcolo, contenitori
Il cliente può accedere a HOST/sistema operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Falso
Archivia i contenuti dei clienti inattivi Vero

Sicurezza di rete

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente( VNet). Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Supporto dei gruppi di sicurezza di rete

Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità collegamento privato, per stabilire un punto di accesso privato per le risorse.

Riferimento: Connettersi privatamente a un registro Azure Container usando collegamento privato di Azure

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o abilitando l'impostazione "disabilita accesso alla rete pubblica" nel servizio.

Riferimento: Disabilitare l'accesso alla rete pubblica

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ContainerRegistry:

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0

Gestione delle identità

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Eseguire l'autenticazione con un Registro Azure Container

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.

Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locali per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Riferimento: Creare un token con autorizzazioni con ambito repository

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Indicazioni sulla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Riferimento: usare un'identità gestita di Azure per eseguire l'autenticazione in un registro Azure Container

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Indicazioni aggiuntive: anche se le entità servizio sono supportate dal servizio come modello per l'autenticazione, è consigliabile usare identità gestite, se possibile.

Riferimento: autenticazione Registro Azure Container con entità servizio

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account amministratore locale

Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.

Linee guida per la configurazione: se non è necessario per le operazioni amministrative di routine, disabilitare o limitare gli account amministratore locali solo per l'uso di emergenza. Ogni registro contenitori include un account utente amministratore che, per impostazione predefinita, è disabilitato.

Riferimento: Eseguire l'autenticazione con un Registro Azure Container

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: il Controllo di accesso basato sui ruoli di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: ruoli e autorizzazioni Registro Azure Container

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.

Riferimento: Customer Lockbox per Microsoft Azure

Protezione dei dati

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-2: Monitorare anomalie e minacce destinate ai dati sensibili

Funzionalità

Prevenzione della perdita/perdita di dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Indicazioni sulla configurazione: disabilitare le esportazioni del registro contenitori per assicurarsi che i dati siano accessibili esclusivamente tramite il piano dati ('docker pull'). Ciò garantisce che i dati non possano essere spostati dal Registro di sistema tramite 'acr import' o tramite 'acr transfer'.

Riferimento: Le esportazioni dei registri contenitori devono essere disabilitate

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Come abilitare TLS 1.2 in Registro Azure Container

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati inattivi tramite chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Crittografare il Registro di sistema usando una chiave gestita dalla piattaforma

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

Riferimento: Crittografare il Registro di sistema usando una chiave gestita dal cliente

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.ContainerRegistry:

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I registri del contenitore devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione cespiti

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: usare Microsoft Defender per il cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.

Riferimento: Controllare la conformità dei registri contenitori di Azure usando Criteri di Azure

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: usare la funzionalità di rilevamento delle minacce predefinita Microsoft Defender per il cloud e abilitare Microsoft Defender per le risorse del Registro Container. Microsoft Defender per Registro Container offre un altro livello di intelligence per la sicurezza. Rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare le risorse del Registro Container.

Informazioni di riferimento: Panoramica di Microsoft Defender per contenitori

LT-4: Abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Vero False Customer

Linee guida per la configurazione: abilitare i log delle risorse di Azure per Registro Container. È possibile usare Microsoft Defender for Cloud e Criteri di Azure per abilitare la raccolta dei log delle risorse e dei dati di log. Questi log possono essere fondamentali per analizzare gli eventi imprevisti di sicurezza e per gli esercizi forensi.

Riferimento: Monitorare Registro Azure Container

Backup e ripristino

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.

Supportata Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Passaggi successivi