Controllo di sicurezza: sicurezza di rete

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

Le raccomandazioni sulla sicurezza di rete sono incentrate sulla specifica dei protocolli di rete, delle porte TCP/UDP e dei servizi connessi alla rete autorizzati o negati l'accesso ai servizi di Azure.

1.1: Proteggere le risorse di Azure all'interno delle reti virtuali

ID di Azure	ID CIS	Responsabilità
1,1	9.2, 9.4, 14.1, 14.2, 14.3	Customer

Assicurarsi che tutte le distribuzioni di subnet Rete virtuale abbiano un gruppo di sicurezza di rete applicato con controlli di accesso di rete specifici per le porte e le origini attendibili dell'applicazione. Quando disponibile, usare endpoint privati con collegamento privato per proteggere le risorse del servizio di Azure nella rete virtuale estendendo l'identità della rete virtuale al servizio. Quando endpoint privati e collegamento privato non disponibili, usare gli endpoint di servizio. Per i requisiti specifici del servizio, fare riferimento alla raccomandazione di sicurezza per tale servizio specifico.

In alternativa, se si dispone di un caso d'uso specifico, il requisito può essere soddisfatto implementando Firewall di Azure.

• Informazioni sugli endpoint di servizio Rete virtuale

• Informazioni sulle collegamento privato di Azure

• Come creare una rete virtuale

• Come creare un gruppo di sicurezza di rete con una configurazione di sicurezza

• Come distribuire e configurare Firewall di Azure

1.2: Monitorare e registrare la configurazione e il traffico di reti virtuali, subnet e schede di interfaccia di rete

ID di Azure	ID CIS	Responsabilità
1,2	9.3, 12.2, 12.8	Customer

Usare Centro sicurezza di Azure e seguire le raccomandazioni sulla protezione di rete per proteggere le risorse di rete in Azure. Abilitare i log dei flussi NSG e inviare i log a un account di archiviazione per il controllo del traffico. È anche possibile inviare log dei flussi del gruppo di sicurezza di rete a un'area di lavoro Log Analytics e usare Analisi del traffico per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. L'uso di Analisi del traffico offre diversi vantaggi, tra cui la possibilità di visualizzare l'attività di rete e identificare le aree sensibili, individuare le minacce per la sicurezza, comprendere i modelli di flusso del traffico e individuare le configurazioni di rete errate.

• Come abilitare i log dei flussi NSG

• Come abilitare e usare Analisi del traffico

• Informazioni sulla sicurezza di rete fornita da Centro sicurezza di Azure

1.3: proteggere le applicazioni Web critiche

ID di Azure	ID CIS	Responsabilità
1.3	9,5	Customer

Distribuire Azure Web application firewall (WAF) davanti alle applicazioni Web critiche per un'ulteriore ispezione del traffico in ingresso. Abilitare l'impostazione di diagnostica per WAF e inserire i log in un account di archiviazione, in un hub eventi o in un'area di lavoro Log Analytics.

• Come distribuire Azure WAF

1.4: negare le comunicazioni con indirizzi IP dannosi noti

ID di Azure	ID CIS	Responsabilità
1.4	12.3	Customer

Abilitare la protezione DDoS Standard nelle reti virtuali di Azure per proteggersi dagli attacchi DDoS. Usare Centro sicurezza di Azure Integrated Threat Intelligence per negare le comunicazioni con indirizzi IP dannosi noti.

Distribuire Firewall di Azure in ogni limite di rete dell'organizzazione con Intelligence per le minacce abilitata e configurata in "Avviso e rifiuto" per il traffico di rete dannoso.

Usare Centro sicurezza di Azure accesso just-in-time alla rete per configurare i gruppi di sicurezza di rete per limitare l'esposizione degli endpoint agli indirizzi IP approvati per un periodo limitato.

Usare Centro sicurezza di Azure protezione avanzata adattiva della rete per consigliare configurazioni del gruppo di sicurezza di rete che limitano le porte e gli INDIRIZZI IP di origine in base al traffico effettivo e all'intelligence sulle minacce.

• Come configurare la protezione DDoS

• Come distribuire Firewall di Azure

• Informazioni sull'intelligence sulle minacce integrata nel Centro sicurezza di Azure

• Informazioni sulla protezione avanzata adattiva della rete Centro sicurezza di Azure

• Informazioni Centro sicurezza di Azure Controllo di accesso di rete JUST-In-Time

1.5: Registrare pacchetti di rete

ID di Azure	ID CIS	Responsabilità
1.5	12.5	Customer

Abilitare Network Watcher'acquisizione di pacchetti per analizzare le attività anomale.

• Come abilitare Network Watcher

1.6: distribuire sistemi di rilevamento intrusioni/prevenzione intrusioni (IDS/IPS) basati sulla rete

ID di Azure	ID CIS	Responsabilità
1.6	12.6, 12.7	Customer

Selezionare un'offerta dal Azure Marketplace che supporta la funzionalità IDS/IPS con funzionalità di ispezione del payload. Se il rilevamento e/o la prevenzione di intrusioni in base all'ispezione del payload non costituisce un requisito, è possibile usare Firewall di Azure con intelligence sulle minacce. I filtri basati sull'intelligence sulle minacce del Firewall di Azure possono creare avvisi e rifiutare il traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft.

Distribuire la soluzione firewall preferita in ogni limite di rete dell'organizzazione per rilevare e/o negare il traffico dannoso.

• Azure Marketplace

• Come distribuire Firewall di Azure

• Come configurare gli avvisi con Firewall di Azure

1.7: gestire il traffico verso le applicazioni Web

ID di Azure	ID CIS	Responsabilità
1,7	12.9, 12.10	Customer

Distribuire gateway applicazione di Azure per le applicazioni Web con HTTPS/TLS abilitato per i certificati attendibili.

• Come distribuire gateway applicazione

• Come configurare gateway applicazione per l'uso di HTTPS

• Informazioni sul bilanciamento del carico di livello 7 con i gateway applicazione Web di Azure

1.8: ridurre al minimo la complessità e il sovraccarico amministrativo delle regole di sicurezza di rete

ID di Azure	ID CIS	Responsabilità
1.8	1.5	Customer

Usare i tag di servizio Rete virtuale per definire i controlli di accesso di rete nei gruppi di sicurezza di rete o Firewall di Azure. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Se si specifica il nome del tag di servizio (ad esempio ApiManagement) nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.

È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare la configurazione di sicurezza complessa. I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.

• Comprendere e usare i tag di servizio

• Comprendere e usare i gruppi di sicurezza delle applicazioni

1.9: gestire le configurazioni di sicurezza standard per i dispositivi di rete

ID di Azure	ID CIS	Responsabilità
1,9	11,1	Customer

Definire e implementare configurazioni di sicurezza standard per le risorse di rete con Criteri di Azure.

È anche possibile usare Azure Blueprints per semplificare le distribuzioni di Azure su larga scala tramite creazione di pacchetti di elementi dell'ambiente chiave, ad esempio modelli di Azure Resources Manager, controlli controllo degli accessi in base al ruolo di Azure e criteri, in una singola definizione del progetto. È possibile applicare il progetto alle nuove sottoscrizioni e ottimizzare il controllo e la gestione tramite il controllo delle versioni.

• Come configurare e gestire Criteri di Azure

• esempi di Criteri di Azure per la rete

• Come creare un progetto di Azure

1.10: documentare le regole di configurazione del traffico

ID di Azure	ID CIS	Responsabilità
1,10	11.2	Customer

Usare tag per gruppi di sicurezza di rete e altre risorse correlate al flusso di sicurezza e traffico di rete. Per le regole dei singoli gruppi di sicurezza di rete, usare il campo "Descrizione" per specificare le esigenze aziendali e/o la durata (e così via) per le regole che consentono il traffico da e verso una rete.

Usare una delle definizioni di Criteri di Azure predefinite correlate all'assegnazione di tag, ad esempio "Richiedi tag e il relativo valore" per assicurarsi che tutte le risorse vengano create con Tag e per notificare le risorse non contrassegnate esistenti.

È possibile usare Azure PowerShell o l'interfaccia della riga di comando di Azure per cercare o eseguire azioni sulle risorse in base ai tag personali.

• Come creare e usare i tag

• Come creare una rete virtuale

• Come creare un gruppo di sicurezza di rete con una configurazione di sicurezza

1.11: usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche

ID di Azure	ID CIS	Responsabilità
1.11	11.3	Customer

Usare Log attività di Azure per monitorare le configurazioni delle risorse e rilevare le modifiche apportate alle risorse di Azure. Creare avvisi all'interno di Monitoraggio di Azure che attivano le modifiche alle risorse critiche.

• Come visualizzare e recuperare gli eventi del log attività di Azure

• Come creare avvisi in Monitoraggio di Azure

Passaggi successivi

• Vedere il successivo controllo di sicurezza: registrazione e monitoraggio