Controllo di sicurezza: Configurazione sicura
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
Stabilire, implementare e gestire attivamente (tenere traccia, segnalare, correggere) la configurazione di sicurezza delle risorse di Azure per impedire agli utenti malintenzionati di sfruttare i servizi e le impostazioni vulnerabili.
7.1: Definire configurazioni sicure per tutte le risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.1 | 5,1 | Customer |
Usare gli alias Criteri di Azure per creare criteri personalizzati per controllare o applicare la configurazione delle risorse di Azure. È anche possibile usare definizioni di Criteri di Azure predefinite.
Inoltre, Azure Resource Manager ha la possibilità di esportare il modello in Json (JavaScript Object Notation), che deve essere esaminato per assicurarsi che le configurazioni soddisfino/superino i requisiti di sicurezza per l'organizzazione.
È anche possibile usare le raccomandazioni di Centro sicurezza di Azure come baseline di configurazione sicura per le risorse di Azure.
Esercitazione: Creare e gestire criteri per applicare la conformità
Esportazione di risorse singole e multi-risorsa in un modello in portale di Azure
7.2: definire configurazioni sicure del sistema operativo
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.2 | 5,1 | Customer |
Usare Centro sicurezza di Azure raccomandazioni per mantenere le configurazioni di sicurezza in tutte le risorse di calcolo. Inoltre, è possibile usare immagini personalizzate del sistema operativo o Automazione di Azure configurazione dello stato per stabilire la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.
Come monitorare le raccomandazioni Centro sicurezza di Azure
Caricare un disco rigido virtuale e usarlo per creare nuove macchine virtuali Windows in Azure
7.3: garantire la sicurezza delle configurazioni delle risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.3 | 5,2 | Customer |
Usare Criteri di Azure [deny] e [deploy if not exist] per applicare impostazioni sicure tra le risorse di Azure. È anche possibile usare i modelli di Azure Resource Manager per mantenere la configurazione di sicurezza delle risorse di Azure richieste dall'organizzazione.
7.4: garantire la sicurezza delle configurazioni del sistema operativo
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.4 | 5,2 | Condiviso |
Seguire le raccomandazioni di Centro sicurezza di Azure sull'esecuzione di valutazioni delle vulnerabilità sulle risorse di calcolo di Azure. Inoltre, è possibile usare modelli di Resource Manager di Azure, immagini personalizzate del sistema operativo o Automazione di Azure configurazione dello stato per mantenere la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione. I modelli di macchina virtuale Microsoft combinati con il Automazione di Azure Desired State Configuration possono essere utili per soddisfare e mantenere i requisiti di sicurezza.
Si noti inoltre che Azure Marketplace immagini di macchine virtuali pubblicate da Microsoft vengono gestite e gestite da Microsoft.
Come implementare Centro sicurezza di Azure raccomandazioni per la valutazione delle vulnerabilità
Come creare una macchina virtuale di Azure da un modello di azure Resource Manager
Creare una macchina virtuale di Windows nel portale di Azure
Informazioni su come scaricare il modello di macchina virtuale
7.5: archiviare in modo sicuro la configurazione delle risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.5 | 5.3 | Customer |
Usare Azure DevOps per archiviare e gestire in modo sicuro il codice, ad esempio criteri di Azure personalizzati, modelli di Azure Resource Manager e script Desired State Configuration. Per accedere alle risorse gestite in Azure DevOps, è possibile concedere o negare autorizzazioni a utenti specifici, gruppi di sicurezza predefiniti o gruppi definiti in Azure Active Directory (Azure AD) se integrati con Azure DevOps o Active Directory, se integrati con TFS.
7.6: archiviare in modo sicuro immagini personalizzate del sistema operativo
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.6 | 5.3 | Customer |
Se si usano immagini personalizzate, usare il controllo degli accessi in base al ruolo di Azure per garantire che solo gli utenti autorizzati possano accedere alle immagini. Usando una raccolta di immagini condivise è possibile condividere le immagini con utenti diversi, entità servizio o gruppi di Active Directory all'interno dell'organizzazione. Per le immagini del contenitore, archiviarle in Registro Azure Container e sfruttare il controllo degli accessi in base al ruolo di Azure per garantire che solo gli utenti autorizzati possano accedere alle immagini.
Informazioni sul controllo degli accessi in base al ruolo di Azure
Informazioni sul controllo degli accessi in base al ruolo di Azure per Registro Container
Come configurare il controllo degli accessi in base al ruolo di Azure
7.7: Distribuire gli strumenti di gestione della configurazione per le risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.7 | 5.4 | Customer |
Definire e implementare configurazioni di sicurezza standard per le risorse di Azure usando Criteri di Azure. Usare gli alias Criteri di Azure per creare criteri personalizzati per controllare o applicare la configurazione di rete delle risorse di Azure. È anche possibile usare definizioni di criteri predefinite correlate alle risorse specifiche. Inoltre, è possibile usare Automazione di Azure per distribuire le modifiche di configurazione.
7.8: Distribuire gli strumenti di gestione della configurazione per i sistemi operativi
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.8 | 5.4 | Customer |
Automazione di Azure State Configuration è un servizio di gestione della configurazione per i nodi Desired State Configuration (DSC) in qualsiasi data center cloud o locale. È possibile caricare facilmente i computer, assegnare agli stessi configurazioni dichiarative e visualizzare report che mostrano la conformità di ogni computer con lo stato desiderato specificato.
7.9: Implementare il monitoraggio automatico della configurazione per le risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.9 | 5.5 | Customer |
Usare Centro sicurezza di Azure per eseguire analisi di base per le risorse di Azure. Usare inoltre Criteri di Azure per avvisare e controllare le configurazioni delle risorse di Azure.
7.10: implementare il monitoraggio automatizzato della configurazione per i sistemi operativi
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.10 | 5.5 | Customer |
Usare Centro sicurezza di Azure per eseguire analisi di base per le impostazioni del sistema operativo e Docker per i contenitori.
7.11: gestire i segreti di Azure in modo sicuro
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.11 | 13.1 | Customer |
Usare l'identità del servizio gestita in combinazione con Azure Key Vault per semplificare e proteggere la gestione dei segreti per le applicazioni cloud.
7.12: gestire le identità in modo sicuro e automatico
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.12 | 4.1 | Customer |
Usare identità gestite per fornire ai servizi di Azure un'identità gestita automaticamente in Azure AD. Le identità gestite consentono di eseguire l'autenticazione per qualsiasi servizio che supporti l'autenticazione di Azure AD, incluso Key Vault, senza inserire credenziali nel codice.
7.13: eliminare l'esposizione involontaria delle credenziali
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 7.13 | 18.1, 18.7 | Customer |
Implementare lo scanner di credenziali per identificare le credenziali all'interno del codice. Tale strumento inoltre incoraggerà a spostare le credenziali rilevate in posizioni più sicure, ad esempio Azure Key Vault.
Passaggi successivi
- Vedere il controllo di sicurezza successivo: Malware Defense