Condividi tramite


Baseline di sicurezza di Azure per Analisi di flusso di Azure

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Analisi di flusso di Azure. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili ad Analisi di flusso di Azure.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili ad Analisi di flusso di Azure sono state escluse. Per informazioni sul modo in cui Analisi di flusso di Azure esegue completamente il mapping al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Analisi di flusso di Azure.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Analisi di flusso di Azure, che possono causare un aumento delle considerazioni sulla sicurezza.

Attributo del comportamento del servizio Valore
Product Category Analisi, IoT
Il cliente può accedere a HOST/SISTEMA operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Falso
Archivia il contenuto del cliente inattivo Falso

Sicurezza di rete

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: Supporto di Analisi di flusso di Azure collegamento privato nello SKU Premium.

Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato, per stabilire un punto di accesso privato per le risorse.

Riferimento: Creare ed eliminare endpoint privati gestiti in un cluster di Analisi di flusso di Azure

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione delle identità

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatorio per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Riferimento: Ruotare le credenziali di accesso per gli input e gli output di un processo di Analisi di flusso

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Informazioni di riferimento: Identità gestite per Analisi di flusso di Azure

Entità servizio

Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni aggiuntive: per i servizi che non supportano le identità gestite, usare Azure AD per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. È consigliabile configurare le entità servizio con le credenziali del certificato e eseguire il fallback ai segreti client per l'autenticazione.

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.

PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.

DP-1: individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili

Funzionalità

Perdita di dati/Prevenzione della perdita di dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: Analisi di flusso di Azure non supporta la prevenzione della perdita o della perdita dei dati, ma esistono criteri predefiniti che possono essere usati per impedire l'accesso non autorizzato ai dati.

Per altre informazioni, vedere: Criteri di Azure definizioni predefinite per Analisi di flusso di Azure.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-3: Crittografare i dati sensibili in transito

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Introduzione ad Analisi di flusso di Azure

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati inattivi tramite chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Protezione dei dati in Analisi di flusso di Azure

DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite CMK

Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare i dati inattivi tramite la chiave gestita dal cliente per tali servizi.

Informazioni di riferimento: Protezione dei dati in Analisi di flusso di Azure

DP-6: Usare un processo di gestione delle chiavi sicuro

Funzionalità

Gestione delle chiavi in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: Analisi di flusso di Azure non si integra direttamente con Azure Key Vault. Azure Key Vault può essere sfruttato indirettamente se il cliente vuole usare chiavi gestite dal cliente per crittografare gli asset di dati privati richiesti dal runtime di Analisi di flusso tramite l'uso di un account di archiviazione.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-7: Usare un processo di gestione dei certificati sicuro

Funzionalità

Gestione certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.

AM-2: Usare solo i servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.

Informazioni di riferimento: Criteri di Azure definizioni predefinite per Analisi di flusso di Azure

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta del servizio/prodotto

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

LT-4: Abilitare la registrazione per l'indagine sulla sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.

Informazioni di riferimento: Risolvere i problemi di Analisi di flusso di Azure usando i log delle risorse

Backup e ripristino

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.

BR-1: Assicurarsi che i backup automatizzati regolari

Funzionalità

Backup di Azure

Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Copiare, eseguire il backup e spostare i processi di Analisi di flusso di Azure tra aree

Passaggi successivi