Strumenti e criteri di sicurezza
Nello scenario di Tailwind Traders, il cliente ha scelto un approccio alle zone di destinazione di Azure basato sull'iniziare in piccolo. Ciò significa che l'implementazione corrente non include tutti i controlli di sicurezza consigliati. Idealmente, il cliente avrebbe dovuto iniziare con l'acceleratore per le zone di destinazione di Azure, che avrebbe già installato molti degli strumenti seguenti.
Questa unità descrive quali controlli aggiungere all'ambiente del cliente per avvicinarsi all'architettura concettuale delle zone di destinazione di Azure e preparare i requisiti di sicurezza dell'organizzazione.
Sono disponibili diversi strumenti e controlli per facilitare la creazione veloce di una baseline di sicurezza:
- Microsoft Defender per il Cloud: fornisce gli strumenti necessari per la protezione avanzata delle risorse, tenere traccia del comportamento di sicurezza, proteggersi dagli attacchi informatici e semplificare la gestione della sicurezza.
- Microsoft Entra ID: servizio di gestione dell'accesso e delle identità predefinito. Microsoft Entra ID fornisce un punteggio di sicurezza delle identità che consente di valutare l postura di sicurezza delle identità rispetto alle raccomandazioni Microsoft.
- Microsoft Sentinel: servizio di informazioni di sicurezza e gestione degli eventi nativo del cloud che fornisce analisi intelligenti della sicurezza per l'intera organizzazione basate su intelligenza artificiale.
- Piano di protezione standard da attacchi DDoS (Distributed Denial of Service) di Azure (facoltativo): offre funzionalità di mitigazione DDoS avanzate per difendersi dagli attacchi DDoS.
- Firewall di Azure: un servizio di sicurezza firewall di rete intelligente e nativo del cloud, che offre protezione dalle minacce per i carichi di lavoro cloud eseguiti in Azure.
- Web application firewall: un servizio nativo del cloud che protegge le app Web da tecniche comuni di hacking Web, ad esempio attacchi SQL injection e vulnerabilità di sicurezza, ad esempio script intersito.
- Privileged Identity Management (PIM): servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione.
- Microsoft Intune: un servizio basato sul cloud incentrato sulla gestione di dispositivi mobili e sulla gestione di applicazioni mobili.
Le sezioni seguenti illustrano il modo in cui Tailwind Traders potrebbe ottenere una baseline di sicurezza in pratica.
Implementazione della baseline per il controllo di accesso
Il CISO vuole raggiungere gli obiettivi seguenti in base allo scenario del cliente:
- Consentire alle persone di svolgere il loro lavoro in modo sicuro ovunque
- Ridurre al minimo i danni aziendali causati da un evento imprevisto di sicurezza grave
Se questi obiettivi sono in linea con quelli della propria organizzazione o se sono presenti altri motivi che spingono a incrementare i controlli di accesso, includere le attività seguenti nella baseline di sicurezza:
- Implementare Microsoft Entra ID per abilitare credenziali complesse
- Aggiungere Intune per la sicurezza dei dispositivi
- Aggiungere PIM per gli account con privilegi per avvicinarsi al mondo Zero-Trust
- Implementare una solida segmentazione di rete usando un modello hub-spoke con controlli di emergenza e controlli firewall tra le zone di destinazione delle applicazioni
- Aggiungere Defender per il cloud e Criteri di Azure per monitorare la conformità a questi requisiti
Implementazione di una baseline per la conformità
Il CISO vuole raggiungere l'obiettivo seguente in base allo scenario del cliente:
- Soddisfare in modo proattivo i requisiti normativi e di conformità
Se questo obiettivo è in linea con quelli della propria organizzazione o se sono presenti altri motivi che spingono a incrementare i controlli di accesso, includere l'attività seguente nella baseline di sicurezza:
- Aggiungere PIM per gli account con privilegi per avvicinarsi al mondo Zero-Trust
Implementazione di una baseline per l'identificazione e la protezione dei dati aziendali sensibili
Il CISO vuole raggiungere gli obiettivi seguenti in base allo scenario del cliente:
- Identificare e proteggere i dati aziendali sensibili
- Modernizzare rapidamente il programma di sicurezza esistente
Se questi obiettivi sono in linea con quelli della propria organizzazione o se sono presenti altri motivi che spingono a incrementare i controlli di accesso, includere le attività seguenti nella baseline di sicurezza:
- Aggiungere Defender per il cloud per ottenere visibilità e controllo centralizzati e integrati su un footprint digitale esteso e comprendere quali sono le esposizioni esistenti
- Aggiungere Microsoft Sentinel per automatizzare i processi ripetibili e consentire al team di sicurezza di risparmiare tempo
Dopo aver applicato gli strumenti corretti, assicurarsi di avere configurato criteri validi per imporre l'uso appropriato di tali strumenti. Diversi criteri si applicano alle zone di destinazione online e connesse all'azienda:
- Applicare l'accesso sicuro, ad esempio HTTPS, agli account di archiviazione: configurare l'account di archiviazione per accettare richieste da connessioni sicure solo impostando la proprietà Trasferimento sicuro obbligatorio per l'account di archiviazione. Quando si richiede il trasferimento sicuro, tutte le richieste provenienti da una connessione non sicura vengono rifiutate.
- Imporre il controllo per il database SQL di Azure: tenere traccia degli eventi del database e scriverli in un log di controllo nell'account di archiviazione di Azure, nell'area di lavoro Log Analytics o negli hub eventi.
- Imporre la crittografia per il database SQL di Azure: la funzionalità Transparent Data Encryption consente di proteggere il database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics dalla minaccia di attività dannose offline tramite la crittografia dei dati inattivi.
- Impedire l'inoltro IP: l'inoltro IP consente a un'interfaccia di rete collegata a una macchina virtuale di ricevere traffico di rete non destinato ad alcun indirizzo IP assegnato alle configurazioni IP dell'interfaccia di rete. È anche possibile inviare il traffico di rete con un indirizzo IP di origine diverso da quello assegnato a una delle configurazioni IP dell'interfaccia di rete. L'impostazione deve essere abilitata per ogni interfaccia di rete associata alla macchina virtuale che riceve il traffico che la macchina virtuale deve inoltrare.
- Assicurarsi che le subnet siano associate a gruppi di sicurezza di rete (NSG): usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete da e verso le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita rispettivamente verso o da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare origine e destinazione, porta e protocollo.