Baseline di sicurezza di Azure per il backup
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Backup. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili al backup.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili al backup sono state escluse. Per informazioni sul mapping completo del backup al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Backup.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto del backup, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | MGMT/Governance |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia il contenuto del cliente inattivo | Falso |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato, per stabilire un punto di accesso privato per le risorse.
Informazioni di riferimento: disponibilità collegamento privato di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ip a livello di servizio o un commutatore di attivazione per l'accesso alla rete pubblica.
Riferimento: Negare l'accesso alla rete pubblica all'insieme di credenziali
Gestione delle identità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: l'identità gestita può essere creata per l'insieme di credenziali e opera solo sul piano di controllo.
Per altre informazioni, visitare: Abilitare l'identità gestita per l'insieme di credenziali.
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Integrazione e archiviazione di credenziali e segreti del servizio in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: questa funzionalità è supportata per tutti gli scenari, ad eccezione di uno scenario locale in cui il file di credenziali dell'insieme di credenziali non è archiviato in AKV.
Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.
Riferimento: Configurare un insieme di credenziali per crittografare usando chiavi gestite dal cliente
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: il controllo degli accessi in base al ruolo di Azure è supportato per le azioni del piano di controllo.
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita dei dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Backup di Azure supporta funzionalità avanzate come insiemi di credenziali non modificabili, eliminazione temporanea, autorizzazione multiutente che può aiutare a proteggere i dati di backup dei clienti che sono in genere sensibili alla natura.
Per altre informazioni, visitare: Insieme di credenziali non modificabili, Eliminazione temporanea e Autorizzazione multiutente
Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Dati in Crittografia di transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: Sicurezza del livello di trasporto nel backup
DP-4: Abilitare i dati inattivi per impostazione predefinita
Funzionalità
Dati inattivi crittografia tramite chiavi della piattaforma
Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: livelli di crittografia in azure-backup
DP-5: Usare l'opzione chiave gestita dal cliente nei dati inattivi quando necessario
Funzionalità
Dati inattivi crittografia tramite CMK
Descrizione: la crittografia dei dati inattiva tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare i dati inattivi tramite la chiave gestita dal cliente per tali servizi.
Riferimento: Crittografia dei dati di backup tramite chiavi gestite dal cliente
DP-6: Usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o quando si verifica un ritiro o un compromesso chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati separata (DEK) con la chiave di crittografia delle chiavi (KEK) nell'insieme di credenziali delle chiavi. Assicurarsi che le chiavi vengano registrate con Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) al servizio (ad esempio l'importazione di chiavi protette da HSM dalle macchine virtuali locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione iniziale e il trasferimento delle chiavi.
Riferimento: Crittografia in Backup di Azure
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui la creazione, l'importazione, la rotazione, la revoca, l'archiviazione e l'eliminazione del certificato. Assicurarsi che la generazione del certificato sia conforme agli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e l'applicazione.
Informazioni di riferimento: Crittografia di backup
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Backup dei criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta del servizio/prodotto
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'indagine sulla sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Informazioni di riferimento: Usare le impostazioni di diagnostica per gli insiemi di credenziali di Servizi di ripristino
Backup e ripristino
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.
BR-1: Assicurarsi che i backup automatizzati regolari
Funzionalità
Backup di Azure
Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.RecoveryServices:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure