Baseline di sicurezza di Azure per Azure Resource Manager
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Azure Resource Manager. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle Resource Manager di Azure.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure Resource Manager sono state escluse. Per informazioni sul modo in cui Azure Resource Manager mappa completamente al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Azure Resource Manager.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto delle Resource Manager di Azure, che possono causare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | MGMT/Governance |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia il contenuto del cliente inattivo | Falso |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: distribuire endpoint privati per stabilire un punto di accesso privato per la gestione delle risorse nel gruppo di gestione radice (tenant).
Nota: Gestione risorse collegamento privato risorse possono essere connesse a un endpoint privato per abilitare l'accesso sicuro e privato per la gestione delle risorse di Azure.
Riferimento: Creare un collegamento privato per la gestione delle risorse di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Azure Resource Manager supporta la connettività privata tramite endpoint privati di Azure e la risorsa Collegamenti privati di Gestione risorse. Tuttavia, la possibilità di disabilitare l'accesso alla rete pubblica non è ancora disponibile.
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: Migrazione a TLS 1.2 per Azure Resource Manager
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Dati inattivi crittografia tramite chiavi della piattaforma
Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Criteri di Azure definizioni predefinite per Azure Resource Manager
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: Microsoft Defender per Resource Manager monitora le operazioni di gestione delle risorse nell'organizzazione, indipendentemente dal fatto che vengano eseguite tramite le portale di Azure, le API REST di Azure, l'interfaccia della riga di comando di Azure o altri client a livello di codice di Azure. Defender for Cloud esegue analisi avanzate della sicurezza per rilevare minacce e avvisi relativi alle attività sospette.
Riferimento: Panoramica delle Microsoft Defender per Resource Manager
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Resources:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: abilitare i log delle risorse per Azure Resource Manager. Quando si creano e gestiscono le risorse in Azure, le richieste vengono orchestrate tramite il piano di controllo di Azure, Azure Resource Manager. Con la registrazione delle risorse è possibile monitorare il volume e la latenza delle richieste del piano di controllo effettuate ad Azure. Con queste metriche, è possibile osservare il traffico e la latenza per le richieste del piano di controllo nelle sottoscrizioni. Ad esempio, è ora possibile determinare quando le richieste sono state limitate o non riuscite filtrando per codici di stato specifici.
Informazioni di riferimento: Metriche di Azure Resource Manager in Monitoraggio di Azure
Backup e ripristino
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: l'esportazione di modelli di Azure Resource Manager non può essere usata per acquisire i dati inattivi. Per le configurazioni delle risorse, è consigliabile creare l'infrastruttura dai modelli di origine e che, quando necessario, ridistribuire da tale origine di verità. L'esportazione di modelli può aiutare il bootstrap a questo processo, ma non è abbastanza affidabile per tenere conto del ripristino di emergenza.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure