Baseline di sicurezza di Azure per Monitoraggio di Azure
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Monitoraggio di Azure. Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Monitoraggio di Azure.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili a Monitoraggio di Azure sono state escluse. Per informazioni sul mapping completo di Monitoraggio di Azure al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Monitoraggio di Azure.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Monitoraggio di Azure, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | DevOps, Sicurezza |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente( VNet). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non esista un motivo fondamentale per assegnare indirizzi IP pubblici direttamente alla risorsa.
Riferimento: usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Riferimento: indirizzi IP usati da Monitoraggio di Azure
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida sulla configurazione: con collegamento privato di Azure è possibile collegare in modo sicuro le risorse paaS (Platform as a Service) di Azure alla rete virtuale usando endpoint privati. Monitoraggio di Azure è un insieme di diversi servizi interconnessi che interagiscono tra loro per monitorare i carichi di lavoro. Un collegamento privato monitoraggio di Azure connette un endpoint privato a un set di risorse di Monitoraggio di Azure, definendo i limiti della rete di monitoraggio. Questo set è denominato ambito Collegamento privato di Monitoraggio di Azure (AMPLS).
Riferimento: usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica. Vedere altre informazioni qui: Usare Monitoraggio di Azure collegamento privato Ambito (AMPLS)
Riferimento: usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: l'agente di Monitoraggio di Azure usa MSI\AAD per impostazione predefinita ed è documentato qui: Configurazione dell'agente di Azure Log Analytics
Application Insights deve essere configurato per applicare AAD ed è documentato qui Autenticazione AAD di Application Insights
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Autenticazione di Azure AD per Application Insights
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: l'identità gestita deve essere abilitata nelle macchine virtuali di Azure prima di installare l'agente di Monitoraggio di Azure. Prerequisiti dell'agente di Monitoraggio di Azure
Indicazioni sulla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Informazioni di riferimento: Autenticazione di Azure AD per Application Insights
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: questa opzione è applicabile solo ai webhook protetti.
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Creare e gestire gruppi di azioni nel portale di Azure
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
Informazioni di riferimento: Panoramica dell'API Log Analytics di Monitoraggio di Azure
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: il Controllo di accesso basato sui ruoli di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: disponibile solo quando Log Analytics di Monitoraggio di Azure è configurato con un cluster dedicato.
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft. Questo vale solo per i dati di log in cluster dedicati.
Riferimento: Customer Lockbox (anteprima)
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: tutti configurati per impostazione predefinita, ad eccezione dell'inserimento dati.
Per Log Analytics
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità nativa di crittografia dei dati in transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: i dati di Monitoraggio di Azure sono dati sull'integrità dei servizi e non sono protetti da Customer Lockbox per impostazione predefinita. Solo i log possono essere protetti da Lockbox e solo per i cluster dedicati.
Indicazioni sulla configurazione: i dati di Monitoraggio di Azure sono destinati solo ai dati di integrità dei servizi e solo i dati di log archiviati in cluster dedicati consentono l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi. Se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Chiave gestita dal cliente di Monitoraggio di Azure
Gestione cespiti
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare Microsoft Defender per il cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Creare impostazioni di diagnostica su larga scala usando Criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Impostazioni di diagnostica in Monitoraggio di Azure
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure