Baseline di sicurezza di Azure per macchine virtuali - Macchine virtuali Linux
Questa baseline di sicurezza applica le linee guida dalla Microsoft cloud security benchmark versione 1.0 alle Macchine Virtuali - Macchine Virtuali Linux. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle macchine virtuali - Macchine virtuali Linux.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
funzionalità non applicabili alle macchine virtuali - Macchine virtuali Linux sono state escluse. Per vedere come le Macchine Virtuali - Macchine Virtuali Linux mappano completamente al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza delle Macchine Virtuali Linux .
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto delle macchine virtuali - Macchine virtuali Linux, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di comportamento del servizio | Valore |
|---|---|
| Categoria prodotto | Calcolare |
| Il cliente può accedere a HOST/sistema operativo | Accesso completo |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti a riposo | Vero |
Sicurezza di rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Caratteristiche
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
riferimento: reti virtuali e macchine virtuali in Azure
Supporto dei gruppi di sicurezza di rete
Descrizione: Il traffico di rete di servizio rispetta l'assegnazione delle regole dei Gruppi di Sicurezza di Rete nelle sue subnet. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Ricorda che per impostazione predefinita, i gruppi di sicurezza di rete (NSG) negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dagli Azure Load Balancers.
Quando si crea una macchina virtuale di Azure, è necessario creare una rete virtuale o usare una rete virtuale esistente e configurare la macchina virtuale con una subnet. Assicurarsi che tutte le subnet distribuite abbiano un gruppo di sicurezza di rete applicato con controlli di accesso di rete specifici per le porte e le origini attendibili delle applicazioni.
Riferimento: gruppi di sicurezza di rete
Monitoraggio di Microsoft Defender for Cloud
Definizioni predefinite di Azure Policy - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da intervalli come 'Any' o 'Internet'. Ciò può potenzialmente consentire agli utenti malintenzionati di prendere di mira le vostre risorse. | AuditIfNotExists, Disabled | 3.0.0 |
definizioni integrate dei Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le raccomandazioni per il rafforzamento adattivo della rete devono essere applicate alle macchine virtuali esposte a Internet | Il Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete che riducono la potenziale superficie di attacco | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
NS-2: Proteggere i servizi cloud con controlli di rete
Caratteristiche
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: i servizi come iptable o firewalld possono essere installati nel sistema operativo Linux e fornire filtri di rete per disabilitare l'accesso pubblico.
Gestione delle identità
Per ulteriori informazioni, consultare il benchmark della sicurezza cloud di Microsoft: gestione delle identità.
IM-1: Usare un sistema centralizzato di identità e autenticazione
Caratteristiche
Autenticazione di Azure AD necessaria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
riferimento: accedere a una macchina virtuale Linux in Azure usando Azure AD e OpenSSH
Metodi di autenticazione locale per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
note sulle funzionalità: un account amministratore locale viene creato per impostazione predefinita durante la distribuzione iniziale della macchina virtuale. Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione laddove possibile.
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Caratteristiche
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: l'identità gestita viene tradizionalmente sfruttata dalla macchina virtuale Linux per eseguire l'autenticazione ad altri servizi. Se la macchina virtuale Linux supporta l'autenticazione di Azure AD, l'identità gestita potrebbe essere supportata.
guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione nei servizi e nelle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente amministrate, aggiornate e protette dalla piattaforma, evitando credenziali codificate in modo fisso nel codice sorgente o nei file di configurazione.
Principal di servizio
Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: i principali di servizio possono essere usati dalle applicazioni in esecuzione nella macchina virtuale Linux.
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'estensione Configurazione Guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata dal sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni, vedere https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Limitare l'accesso alle risorse in base alle condizioni
Caratteristiche
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note sulle funzionalità: usare Azure AD come piattaforma di autenticazione principale e un'autorità di certificazione per effettuare l'accesso SSH in una macchina virtuale Linux utilizzando l'autenticazione basata su certificati di Azure AD e OpenSSH. Questa funzionalità consente alle organizzazioni di gestire l'accesso alle macchine virtuali con il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale.
guida alla configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
riferimento: accedere a una macchina virtuale Linux in Azure usando Azure AD e OpenSSH
IM-8: limitare l'esposizione di credenziali e segreti
Caratteristiche
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per le credenziali e l'archivio dei segreti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità per la configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note sulle funzionalità: all'interno del piano dati o del sistema operativo, i servizi possono chiamare Azure Key Vault per credenziali o segreti.
linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in percorsi sicuri, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Accesso con privilegi
Per altre informazioni, vedere Benchmark della sicurezza cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Caratteristiche
Account amministratore locale
Descrizione: Il concetto di account amministrativo locale è presente nel servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
note sulle funzionalità: evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione laddove possibile.
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Guida Introduttiva : Creare una Macchina Virtuale Linux nel Portale di Azure
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Caratteristiche
Controllo degli accessi in base al ruolo (RBAC) di Azure per il piano dei dati
Descrizione: il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note sulle funzionalità: usare Azure AD come piattaforma di autenticazione principale e un'autorità di certificazione per accedere a una macchina virtuale Linux tramite SSH usando l'autenticazione con certificati di Azure AD e OpenSSH. Questa funzionalità consente alle organizzazioni di gestire l'accesso alle macchine virtuali con il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale.
guida alla configurazione: Con RBAC, specificare chi può accedere a una macchina virtuale come utente normale o con privilegi di amministratore. Quando gli utenti si uniscono al team, puoi aggiornare i criteri Azure RBAC del VM per concedere l'accesso appropriato. Quando i dipendenti lasciano l'organizzazione e i relativi account utente vengono disabilitati o rimossi da Azure AD, non hanno più accesso alle risorse.
riferimento: accedere a una macchina virtuale Linux in Azure usando Azure AD e OpenSSH
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Caratteristiche
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Protezione dei dati
Per altre informazioni, vedere l'benchmark della sicurezza cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Caratteristiche
Individuazione e classificazione dei dati sensibili
Descrizione: gli strumenti (ad esempio Azure Purview o Azure Information Protection) possono essere usati per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Caratteristiche
Prevenzione della perdita/fuga di dati
Descrizione: Il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in transito
Caratteristiche
Crittografia dei dati in transito
Description: Il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note sulle funzionalità: alcuni protocolli di comunicazione, ad esempio SSH, vengono crittografati per impostazione predefinita. Tuttavia, altri servizi, ad esempio HTTP, devono essere configurati per l'uso di TLS per la crittografia.
guida alla configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità nativa di crittografia dei dati in transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota delle macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Riferimento: crittografia in transito nelle macchine virtuali
Monitoraggio di Microsoft Defender for Cloud
Definizioni integrate di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| i computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo mediante chiavi della piattaforma
Descrizione: la crittografia dei dati a riposo usando chiavi della piattaforma è supportata, qualsiasi contenuto del cliente a riposo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
note sulle funzionalità: per impostazione predefinita, i dischi gestiti usano chiavi di crittografia gestite dalla piattaforma. Tutti i dischi gestiti, gli snapshot, le immagini e tutti i dati scritti in dischi gestiti esistenti vengono crittografati automaticamente a riposo con chiavi gestite dalla piattaforma.
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
di riferimento: crittografia lato server di Archiviazione su disco di Azure - Chiavi gestite dalla piattaforma
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia sul server o opzione 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Archiviazione dischi di Azure: https://aka.ms/disksse, e Diverse opzioni di crittografia dei dischi: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Definizioni integrate dei criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetto/Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: le macchine virtuali Linux devono abilitare Crittografia del disco di Azure o EncryptionAtHost. | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti questi dati. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.2.0-anteprima |
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: La crittografia dei dati a riposo usando chiavi gestite dal cliente è supportata per i contenuti dei clienti archiviati dal servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note sulle funzionalità: è possibile scegliere di gestire la crittografia a livello di ogni disco gestito, con le proprie chiavi. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso.
guida alla configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
I dischi virtuali nelle macchine virtuali (VM) vengono crittografati a riposo usando la crittografia sul lato server o la crittografia dei dischi di Azure (ADE). Crittografia dischi di Azure sfrutta la funzionalità DM-Crypt di Linux per crittografare i dischi gestiti con chiavi gestite dal cliente all'interno della macchina virtuale guest. La crittografia lato server con chiavi gestite dal cliente migliora l'ADE consentendo di usare qualsiasi tipo di sistema operativo e immagini per le Macchine Virtuali crittografando i dati nel Servizio di Archiviazione.
di riferimento: crittografia lato server dell'archiviazione su disco di Azure - Chiavi gestite dal cliente
DP-6: Usare un processo di gestione delle chiavi sicuro
Caratteristiche
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello dell'applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK separata con la chiave di crittografia della chiave (KEK) nel tuo archivio delle chiavi. Assicuratevi che le chiavi siano registrate con Azure Key Vault e a cui si faccia riferimento attraverso gli ID delle chiavi dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio, ad esempio importando chiavi protette da HSM dai sistemi HSM locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione iniziale delle chiavi e il loro trasferimento.
riferimento: Creazione e configurazione di un archivio delle chiavi per Crittografia Dischi di Azure
DP-7: Usare un processo di gestione dei certificati sicuro
Caratteristiche
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione degli asset
Per ulteriori informazioni, vedere Benchmark della sicurezza cloud Microsoft: Gestione degli assetti.
AM-2: Usare solo i servizi approvati
Caratteristiche
Supporto di Azure Policy
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
linee guida alla configurazione: è possibile usare Criteri di Azure per definire il comportamento desiderato per le macchine virtuali Windows e le macchine virtuali Linux dell'organizzazione. Usando i criteri, un'organizzazione può applicare varie convenzioni e regole in tutta l'organizzazione e definire e implementare configurazioni di sicurezza standard per macchine virtuali di Azure. L'applicazione del comportamento desiderato può contribuire a ridurre i rischi contribuendo al successo dell'organizzazione.
Riferimento: definizioni predefinite di Criteri di Azure per le macchine virtuali di Azure
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| è necessario eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Utilizzare il nuovo Azure Resource Manager per le proprie macchine virtuali per offrire miglioramenti della sicurezza, come: controllo degli accessi più forte (RBAC), auditing più efficace, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite di Azure, accesso al Key Vault per la gestione dei segreti, autenticazione basata su Azure AD e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza. | Verifica, Nega, Disabilitato | 1.0.0 |
Definizioni integrate dei criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| è necessario eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Utilizzare il nuovo Azure Resource Manager per le macchine virtuali per offrire miglioramenti alla sicurezza come: controllo degli accessi più rigoroso (RBAC), controllo migliore, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso al Key Vault per i segreti, autenticazione basata su Azure AD e supporto per tag e gruppi di risorse che facilita la gestione della sicurezza. | Verifica, Nega, Disabilitato | 1.0.0 |
AM-5: usare solo le applicazioni approvate nella macchina virtuale
Caratteristiche
Microsoft Defender for Cloud - Controlli applicazioni adattivi
Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender for Cloud. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: usare i controlli delle applicazioni adattivi di Microsoft Defender for Cloud per individuare le applicazioni in esecuzione in macchine virtuali e generare un elenco di autorizzazioni per l'applicazione per imporre l'esecuzione delle applicazioni approvate nell'ambiente vm.
Riferimento: Utilizzare controlli applicativi adattivi per ridurre le superfici di attacco delle macchine
Monitoraggio di Microsoft Defender for Cloud
Definizioni predefinite di Azure Policy - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer | Abilitare i controlli dell'applicazione per definire l'elenco di applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. Ciò consente di rafforzare i computer contro il malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa l'apprendimento automatico per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabilitato | 3.0.0 |
definizioni predefinite delle Policy di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer | Abilitare i controlli dell'applicazione per definire l'elenco di applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. Ciò consente di rafforzare i computer contro il malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa l'apprendimento automatico per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere benchmark della sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Caratteristiche
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e inviare avvisi in caso di problemi di sicurezza. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: Defender per server estende la protezione ai computer Windows e Linux in esecuzione in Azure. Defender per server si integra con Microsoft Defender per endpoint per fornire il rilevamento e la risposta degli endpoint (EDR) e offre anche una serie di funzionalità di protezione dalle minacce aggiuntive, ad esempio baseline di sicurezza e valutazioni a livello di sistema operativo, analisi della valutazione delle vulnerabilità, controlli applicazioni adattivi (AAC), monitoraggio dell'integrità dei file (FIM) e altro ancora.
di riferimento: Pianificare la distribuzione di Defender per server
Monitoraggio di Microsoft Defender for Cloud
Definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest dei criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabilitato | 2.0.0 |
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Caratteristiche
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli alla propria destinazione dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: Azure Monitor avvia automaticamente la raccolta dei dati delle metriche per l'host della macchina virtuale quando si crea la VM. Per raccogliere log e dati sulle prestazioni dal sistema operativo guest della macchina virtuale, tuttavia, è necessario installare l'agente di Monitoraggio di Azure. È possibile installare l'agente e configurare la raccolta usando VM Insights oppure creando una regola di raccolta dati.
Panoramica dell'agente di Log Analytics: riferimento
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Il Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | AuditIfNotExists, Disattivato | di anteprima 1.0.2 |
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark della sicurezza cloud Microsoft : Comportamento e gestione delle vulnerabilità.
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
Caratteristiche
Configurazione dello stato di Automazione Azure
Descrizione: È possibile utilizzare Azure Automation State Configuration per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla Configurazione: Usare Configurazione dello Stato di Azure Automation per mantenere la configurazione di sicurezza del sistema operativo.
Riferimento: Configurare una macchina virtuale con Configurazione dello stato desiderato
Agente dei Criteri di Azure per la configurazione degli ospiti
Descrizione: l'agente di configurazione di Azure Policy può essere installato o distribuito come estensione per le risorse computazionali. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: Configurazione Guest di Azure Policy è ora denominata Azure Automanage Machine Configuration.
Guida alla configurazione: usare Microsoft Defender per il Cloud e l'agente di configurazione dei criteri guest di Azure per valutare e rimediar regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, incluse macchine virtuali, contenitori e altre.
Riferimento: Comprendere la funzionalità di configurazione della macchina di Azure Automanage
Immagini di macchine virtuali personalizzate
Descrizione: il servizio supporta l'uso di immagini di macchine virtuali fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
linee guida alla configurazione: usare un'immagine preconfigurata con protezione avanzata di un fornitore attendibile, ad esempio Microsoft o creare una linea di base di configurazione sicura desiderata nel modello di immagine della macchina virtuale.
Riferimento: Esercitazione: Creare un'immagine personalizzata di una macchina virtuale di Azure con Azure CLI
PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo
Caratteristiche
Macchina virtuale con avvio sicuro
Descrizione: l'avvio attendibile protegge da tecniche di attacco avanzate e persistenti combinando tecnologie dell'infrastruttura come l'avvio protetto, vTPM e il monitoraggio dell'integrità. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. L'avvio attendibile consente la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver e protegge in modo sicuro chiavi, certificati e segreti nelle macchine virtuali. L'avvio attendibile fornisce anche informazioni dettagliate e attendibili dell'integrità dell'intera catena di avvio e garantisce che i carichi di lavoro siano attendibili e verificabili. L'avvio attendibile è integrato con Microsoft Defender for Cloud per assicurarsi che le macchine virtuali siano configurate correttamente, attestando da remoto che la macchina virtuale viene avviata in modo sicuro. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Nota funzionalità: l'avvio attendibile è disponibile per le macchine virtuali di seconda generazione. L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
guida alla configurazione: l'avvio attendibile può essere abilitato durante la distribuzione della macchina virtuale. Abilitare tutti e tre: Secure Boot, vTPM e monitoraggio dell'integrità dell'avvio per garantire la migliore posizione di sicurezza per la macchina virtuale. Si tenga presente che esistono alcuni prerequisiti, tra cui registrare la sottoscrizione a Microsoft Defender for Cloud, l'assegnazione di specifiche iniziative di Azure Policy e la configurazione dei criteri firewall.
riferimento: Distribuire una macchina virtuale con l'avvio sicuro abilitato
PV-5: Eseguire valutazioni delle vulnerabilità
Caratteristiche
Valutazione della vulnerabilità con Microsoft Defender
Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender for Cloud o altre funzionalità di valutazione delle vulnerabilità incorporate di Microsoft Defender Services (tra cui Microsoft Defender per server, registro contenitori, Servizio app, SQL e DNS). Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
indicazioni sulla configurazione: seguire le raccomandazioni di Microsoft Defender for Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure.
di riferimento: Pianificare la distribuzione di Defender per server
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure - definizioni predefinite - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente fondamentale di ogni programma di sicurezza e rischio informatico è l'identificazione e l'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza può distribuire automaticamente questo strumento. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
Definizioni incorporate dei criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente fondamentale di ogni programma di sicurezza e rischio informatico è l'identificazione e l'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza può distribuire automaticamente questo strumento. | AuditIfNotExists, Disabilitato | 3.0.0 |
PV-6: correggere rapidamente e automaticamente le vulnerabilità
Caratteristiche
Gestione aggiornamenti di Azure
Descrizione: il servizio può usare Gestione aggiornamenti di Azure per distribuire automaticamente patch e aggiornamenti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Cliente |
Guida alla configurazione: usare Gestione aggiornamenti di Azure per assicurarsi che gli aggiornamenti della sicurezza più recenti siano installati nelle macchine virtuali Linux.
Riferimento: Gestisci gli aggiornamenti e le patch per le macchine virtuali
Servizio di applicazione di patch guest di Azure
Descrizione: il servizio può usare l'applicazione di patch guest di Azure per distribuire automaticamente patch e aggiornamenti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: i servizi possono sfruttare i diversi meccanismi di aggiornamento, ad esempio aggiornamenti automatici dell'immagine del sistema operativo e l'applicazione automatica di patch guest. Le funzionalità sono consigliate per applicare gli aggiornamenti di sicurezza e critici più recenti al sistema operativo guest della macchina virtuale seguendo i principi di distribuzione sicura.
Il Guest Patching automatico consente di valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità di sicurezza con gli aggiornamenti critici e di sicurezza rilasciati ogni mese. Gli aggiornamenti vengono applicati durante le ore di minore attività, incluse le macchine virtuali all'interno di un set di disponibilità. Questa funzionalità è disponibile per l'orchestrazione flessibile di VMSS, con il supporto futuro incluso nella roadmap per l'orchestrazione uniforme.
Se gestisci un workload senza stato, gli aggiornamenti automatici delle immagini del sistema operativo sono ideali per applicare l'aggiornamento più recente per il VMSS (set di scalabilità di macchine virtuali) Uniform. Con la funzionalità di rollback, questi aggiornamenti sono compatibili con marketplace o immagini personalizzate. Supporto futuro dell'aggiornamento in sequenza sulla roadmap per l'orchestrazione flessibile.
di riferimento: applicazione automatica di patch guest alle macchine virtuali per le macchine virtuali di Azure
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli aggiornamenti di sistema devono essere installati nei computer | Gli aggiornamenti del sistema di sicurezza mancanti nei server verranno monitorati dal Centro sicurezza di Azure come raccomandazioni | AuditIfNotExists, Disabled | 4.0.0 |
Definizioni incorporate dei criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: gli aggiornamenti di sistema devono essere installati nei computer (con tecnologia Update Center) | Ai computer mancano aggiornamenti di sistema, sicurezza e fondamentali. Gli aggiornamenti software includono spesso patch critiche per i fori di sicurezza. Tali fori sono spesso sfruttati in attacchi malware, quindi è fondamentale mantenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists, Disabilitato | di anteprima 1.0.0 |
Sicurezza degli endpoint
Per altre informazioni, vedere l'benchmark della sicurezza cloud Microsoft: Sicurezza degli endpoint.
ES-1: Usare il rilevamento e la risposta degli endpoint (EDR)
Funzionalità
Soluzione EDR
Descrizione: La funzionalità di rilevamento e risposta degli endpoint (EDR), come Azure Defender per i server, può essere distribuita sull'endpoint. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: Azure Defender per server (con Microsoft Defender per endpoint integrato) offre funzionalità EDR per prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender for Cloud per distribuire Azure Defender per i server e per gli endpoint, e integrare gli avvisi nella tua soluzione SIEM, ad esempio Azure Sentinel.
di riferimento: Pianificare la distribuzione di Defender per server
ES-2: Usare software antimalware moderno
Funzionalità
Soluzione antimalware
Descrizione: funzionalità antimalware, come Antivirus Microsoft Defender e Microsoft Defender Per Endpoint, possono essere distribuite nell'endpoint. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
indicazioni sulla configurazione: per Linux, i clienti hanno la possibilità di scegliere di installare Microsoft Defender for Endpoint su Linux. In alternativa, i clienti hanno anche la scelta di installare prodotti antimalware di terze parti.
riferimento: Microsoft Defender per Endpoint su Linux
Monitoraggio di Microsoft Defender for Cloud
definizioni integrate di Azure Policy - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| I problemi di funzionamento di Endpoint Protection dovrebbero essere risolti sui tuoi computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerli dalle minacce e dalle vulnerabilità più recenti. Le soluzioni di endpoint protection supportate dal Centro sicurezza di Azure sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditSeNonEsiste, Disabilitato | 1.0.0 |
definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| I problemi di funzionamento di Endpoint Protection dovrebbero essere risolti nei vostri computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerli dalle minacce e dalle vulnerabilità più recenti. Le soluzioni di endpoint protection supportate dal Centro sicurezza di Azure sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabilitato | 1.0.0 |
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornate
Caratteristiche
Monitoraggio dello stato di salute della soluzione antimalware
Descrizione: La soluzione antimalware fornisce il monitoraggio dello stato di integrità per la piattaforma, il motore e gli aggiornamenti automatici delle firme. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità di configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: gli aggiornamenti di intelligence sulla sicurezza e dei prodotti si applicano a Defender per Endpoint che possono essere installati sulle macchine virtuali Linux.
linee guida alla configurazione: Configurare la soluzione antimalware per garantire che la piattaforma, il motore e le firme vengano aggiornati rapidamente e in modo coerente e monitorarne lo stato.
Monitoraggio di Microsoft Defender for Cloud
Definizioni incorporate di Criteri di Azure - Microsoft.ClassicCompute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I problemi di stato di Endpoint Protection dovrebbero essere risolti sui vostri computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerli dalle minacce e dalle vulnerabilità più recenti. Le soluzioni di endpoint protection supportate dal Centro sicurezza di Azure sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditSeNonEsiste, Disabilitato | 1.0.0 |
definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I problemi di integrità di Endpoint Protection devono essere risolti nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerli dalle minacce e dalle vulnerabilità più recenti. Le soluzioni di endpoint protection supportate dal Centro sicurezza di Azure sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
Backup e ripristino
Per altre informazioni, vedere il benchmark della sicurezza cloud Microsoft : Backup e ripristino.
BR-1: Garantire backup automatici regolari
Caratteristiche
Azure Backup
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: attivare il Backup di Azure per le macchine virtuali di Azure di destinazione, specificando anche la frequenza e i periodi di conservazione desiderati. Ciò include il backup completo dello stato del sistema. Se si usa crittografia dischi di Azure, il backup delle macchine virtuali di Azure gestisce automaticamente il backup delle chiavi gestite dal cliente. Per le macchine virtuali di Azure, è possibile usare Criteri di Azure per abilitare i backup automatici.
riferimento: opzioni di backup e ripristino per le macchine virtuali in Azure
Monitoraggio di Microsoft Defender for Cloud
definizioni predefinite di Criteri di Azure - Microsoft.Compute:
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Backup di Azure deve essere abilitato per le macchine virtuali | Assicurarsi di proteggere le macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
Passaggi successivi
- Vedere la panoramica benchmark della sicurezza cloud Microsoft
- Altre informazioni sulle baseline di sicurezza di Azure