Informazioni di base sulla sicurezza di Azure per Criteri di Azure
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Criteri di Azure. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle Criteri di Azure.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili alle Criteri di Azure sono state escluse. Per informazioni su come Criteri di Azure esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza Criteri di Azure.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Criteri di Azure, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | MGMT/Governance |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti inattivi | Falso |
Gestione delle identità
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Criteri di Azure usa un'identità gestita per la correzione delle risorse non conformi.
Linee guida per la configurazione: ogni assegnazione di Criteri di Azure può essere associata a una sola identità gestita. Tuttavia, l'identità gestita può essere assegnata a più ruoli. La configurazione avviene in due passaggi: creare prima un'identità gestita assegnata dal sistema o assegnata dall'utente, quindi concedere i ruoli necessari.
Riferimento: Correggere le risorse non conformi con Criteri di Azure
Protezione dei dati
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Criteri di Azure sfrutta la crittografia predefinita di Microsoft per i dati in transito.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia doppia
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.GuestConfiguration:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Criteri di Azure sfrutta la crittografia predefinita di Microsoft per i dati inattivi.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia doppia
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure