Baseline di sicurezza di Azure per Azure Data Manager per l'energia
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Data Manager for Energy. Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili ad Azure Data Manager for Energy.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure Data Manager per l'energia sono state escluse. Per informazioni sul mapping completo di Azure Data Manager for Energy al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo delle baseline di sicurezza di Azure Data Manager per la sicurezza energetica.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Data Manager per l'energia, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente( VNet). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: Azure Data Manager per l'istanza di Energia può essere connesso da una rete virtuale tramite un endpoint privato, ovvero un set di indirizzi IP privati in una subnet all'interno della rete virtuale usando collegamento privato di Azure. L'accesso all'istanza può essere limitato su questi indirizzi IP privati.
L'endpoint privato può essere configurato durante il processo di provisioning dell'istanza o dopo la creazione dell'istanza. L'istanza di Azure Data Manager per l'energia configurata con collegamento privato può essere connessa usando un metodo di approvazione automatico o manuale.
Riferimento: Creare un endpoint privato per Azure Data Manager per l'anteprima dell'energia
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica attivando o disattivando un commutatore per l'accesso alla rete pubblica.
Riferimento: Creare un endpoint privato per Azure Data Manager per l'anteprima dell'energia
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: Azure Data Manager for Energy usa l'API entitlement e funge da sistema di autorizzazione basato su gruppo per le partizioni di dati in Azure Data Manager for Energy.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Come gestire gli utenti
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: attualmente altri servizi possono connettersi ad Azure Data Manager for Energy usando un'identità gestita assegnata dal sistema o assegnata dall'utente. Azure Data Manager per Energy, tuttavia, non supporta le identità gestite assegnate dal sistema.
Linee guida per la configurazione: usare le identità gestite di Azure per accedere al piano dati o al piano di controllo di Azure Data Manager per l'istanza di Energia da altri servizi di Azure.
Riferimento: Usare un'identità gestita per accedere ad Azure Data Manager per l'anteprima dell'energia da altri servizi di Azure
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: un'entità servizio viene creata automaticamente durante il processo di registrazione dell'applicazione.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Guida introduttiva: Creare un'istanza di Anteprima di Azure Data Manager per l'anteprima dell'energia
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account amministratore locale
Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: il Controllo di accesso basato sui ruoli di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: l'accesso al piano dati viene gestito tramite il servizio entitlement.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Riferimento: Usare Customer Lockbox per Azure Data Manager per l'anteprima dell'energia
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografare i dati in transito
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: il cliente deve selezionare le chiavi gestite da Microsoft (MMK) nella scheda crittografia durante il provisioning dell'istanza di Azure Data Manager per l'istanza di Energia. Le impostazioni della chiave non possono essere modificate dopo la creazione dell'istanza.
Linee guida per la configurazione: abilitare la crittografia dei dati inattivi usando chiavi gestite dalla piattaforma (gestite da Microsoft) in cui non sono configurati automaticamente dal servizio.
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: i clienti possono configurare cmk solo durante il provisioning dell'istanza di Azure Data Manager per l'energia. Le impostazioni della chiave gestita dal cliente non possono essere modificate dopo la creazione dell'istanza.
Linee guida sulla configurazione: la crittografia dei dati inattivi protegge i dati e aiuta a soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente.
Informazioni di riferimento: Sicurezza e crittografia dei dati in Azure Data Manager per l'energia
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: Azure Key Vault viene usato per archiviare la chiave di crittografia gestita dal cliente.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Informazioni di riferimento: Sicurezza e crittografia dei dati in Azure Data Manager per l'anteprima dell'energia
Gestione cespiti
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio.
Nota: Azure Data Manager per l'anteprima dell'energia supporta l'esportazione dei log del servizio OSDU in Monitoraggio di Azure usando un'impostazione di diagnostica che consente di risolvere i problemi, eseguire il debug e monitorare i servizi OSDU. Sono disponibili anche log di controllo per le API del piano dati in Azure Data Manager for Energy.
Riferimento: Integrare i log del servizio OSDU con Monitoraggio di Azure
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure