Introduzione: implementare la sicurezza nell'ambiente aziendaleGet started: Implement security across the enterprise environment

La sicurezza consente di creare garanzie di riservatezza, integrità e disponibilità per un'azienda.Security helps create assurances of confidentiality, integrity, and availability for a business. Le attività di sicurezza hanno un'attenzione critica alla protezione contro il potenziale impatto sulle operazioni causate da azioni interne ed esterne dannose e non intenzionali.Security efforts have a critical focus on protecting against the potential impact to operations caused by both internal and external malicious and unintentional acts.

Questa Guida introduttiva descrive i passaggi chiave che consentono di attenuare o evitare i rischi aziendali da attacchi Cybersecurity.This getting started guide outlines the key steps that will mitigate or avoid the business risk from cybersecurity attacks. Può aiutare a definire rapidamente le procedure di sicurezza essenziali nel cloud e a integrare la sicurezza nel processo di adozione del cloud.It can help you rapidly establish essential security practices in the cloud and integrate security into your cloud adoption process.

I passaggi descritti in questa guida sono destinati a tutti i ruoli che supportano le garanzie di sicurezza per gli ambienti cloud e le zone di destinazione.The steps in this guide are intended for all roles that support security assurances for cloud environments and landing zones. Le attività includono le priorità di mitigazione dei rischi immediate, le linee guida per la creazione di una strategia di sicurezza moderna, il operatività dell'approccio e l'esecuzione di questa strategia.Tasks include immediate risk mitigation priorities, guidance on building a modern security strategy, operationalizing the approach, and executing on that strategy.

Questa guida include gli elementi del Framework di adozione Microsoft Cloud per Azure:This guide includes elements from across the Microsoft Cloud Adoption Framework for Azure:

Introduzione alla sicurezza aziendale

L'adesione ai passaggi descritti in questa guida consente di integrare la protezione nei punti critici del processo.Adhering to the steps in this guide will help you integrate security at critical points in the process. L'obiettivo è evitare gli ostacoli nell'adozione del cloud e ridurre le attività operative o non necessarie.The goal is to avoid obstacles in cloud adoption and reduce unnecessary business or operational disruption.

Microsoft ha creato funzionalità e risorse che consentono di accelerare l'implementazione di queste indicazioni sulla sicurezza in Microsoft Azure.Microsoft has built capabilities and resources to help accelerate your implementation of this security guidance on Microsoft Azure. Verranno visualizzate le risorse a cui viene fatto riferimento in questa guida.You'll see these resources referenced throughout this guide. Sono progettati per semplificare la definizione, il monitoraggio e l'applicazione della sicurezza, che vengono aggiornati e esaminati di frequente.They're designed to help you establish, monitor, and enforce security, and they're frequently updated and reviewed.

Il diagramma seguente illustra un approccio olistico per l'uso di linee guida per la sicurezza e strumenti della piattaforma per definire la visibilità e il controllo della sicurezza delle risorse cloud in Azure.The following diagram shows a holistic approach for using security guidance and platform tooling to establish security visibility and control over your cloud assets in Azure. Questo approccio è consigliato.We recommend this approach.

Diagramma di sicurezza

Usare questi passaggi per pianificare ed eseguire la strategia per la protezione delle risorse cloud e l'uso del cloud per modernizzare le operazioni di sicurezza.Use these steps to plan and execute your strategy for securing your cloud assets and using the cloud to modernize security operations.

Passaggio 1: definire procedure di sicurezza essenzialiStep 1: Establish essential security practices

La sicurezza nel cloud inizia con l'applicazione delle procedure di sicurezza più importanti per le persone, i processi e gli elementi tecnologici del sistema.Security in the cloud starts with applying the most important security practices to the people, process, and technology elements of your system. Inoltre, alcune decisioni sull'architettura sono fondamentali e sono molto difficili da modificare in un secondo momento, pertanto è consigliabile applicarle con attenzione.Additionally, some architectural decisions are foundational and are very difficult to change later so should be carefully applied.

Che tu stia già operando nel cloud o che tu stia pianificando l'adozione futura, ti consigliamo di seguire le 11 procedure di sicurezza essenziali, oltre a soddisfare i requisiti di conformità normativi espliciti.Whether you're already operating in the cloud or you're planning for future adoption, we recommend that you follow these 11 essential security practices (in addition to meeting any explicit regulatory compliance requirements).

PersonePeople:

  1. Informare i team sul percorso di sicurezza del cloudEducate teams about the cloud security journey
  2. Istruire i team sulla tecnologia di sicurezza cloudEducate teams on cloud security technology

ProcessoProcess:

  1. Assegnare la responsabilità per le decisioni sulla sicurezza del cloudAssign accountability for cloud security decisions
  2. Aggiornare i processi di risposta agli eventi imprevisti per il cloudUpdate Incident Response (IR) processes for cloud
  3. Definire la gestione delle posture della sicurezzaEstablish security posture management

TecnologiaTechnology:

  1. Richiedi Multi-Factor Authentication (autenticazione a più fattori)Require Passwordless or Multi-Factor Authentication (MFA)
  2. Integrare il firewall nativo e la sicurezza di reteIntegrate native firewall and network security
  3. Integra rilevamento minacce nativoIntegrate native threat detection

Decisioni sull'architettura di base:Foundational Architecture Decisions:

  1. Standardizzazione in una singola directory e identitàStandardize on a single directory and identity
  2. Usare il controllo di accesso basato su identità (anziché le chiavi)Use identity based access control (instead of keys)
  3. Definire una singola strategia di sicurezza unificataEstablish a single unified security strategy

Nota

Ogni organizzazione deve definire i propri standard minimi.Each organization should define its own minimum standards. La postura del rischio e la tolleranza successiva al rischio possono variare notevolmente in base al settore, alle impostazioni cultura e ad altri fattori.Risk posture and subsequent tolerance to that risk can vary widely based on industry, culture, and other factors. Una banca, ad esempio, potrebbe non tollerare potenziali danni alla propria reputazione da un attacco secondario a un sistema di test.For example, a bank might not tolerate any potential damage to its reputation from even a minor attack on a test system. Alcune organizzazioni accetterebbero volentieri lo stesso rischio se ha accelerato la trasformazione digitale da tre a sei mesi.Some organizations would gladly accept that same risk if it accelerated their digital transformation by three to six months.

Passaggio 2: modernizzare la strategia di sicurezzaStep 2: Modernize the security strategy

Una sicurezza efficace nel cloud richiede una strategia che riflette l'ambiente di minaccia corrente e la natura della piattaforma cloud che ospita le risorse aziendali.Effective security in the cloud requires a strategy that reflects the current threat environment and the nature of the cloud platform that's hosting the enterprise assets. Una strategia chiara migliora il lavoro svolto da tutti i team per offrire un ambiente cloud aziendale sicuro e sostenibile.A clear strategy improves the effort of all teams to provide a secure and sustainable enterprise cloud environment. La strategia di sicurezza deve consentire i risultati aziendali definiti, ridurre i rischi a un livello accettabile e consentire ai dipendenti di essere produttivi.The security strategy must enable defined business outcomes, reduce risk to an acceptable level, and enable employees to be productive.

Una strategia di sicurezza cloud fornisce indicazioni a tutti i team che lavorano sulla tecnologia, i processi e la preparazione per le persone per questa adozione.A cloud security strategy provides guidance to all teams working on the technology, processes, and people readiness for this adoption. La strategia dovrebbe informare l'architettura del cloud e le funzionalità tecniche, guidare l'architettura e le funzionalità di sicurezza e influenzare la formazione e la formazione dei team.The strategy should inform the cloud architecture and technical capabilities, guide the security architecture and capabilities, and influence the training and education of teams.

DeliverablesDeliverables:

Il passaggio della strategia dovrebbe comportare un documento che può essere facilmente comunicato a molte parti interessate all'interno dell'organizzazione.The strategy step should result in a document that can easily be communicated to many stakeholders within the organization. Gli stakeholder possono potenzialmente includere i dirigenti del team di leadership dell'organizzazione.The stakeholders can potentially include executives on the organization's leadership team.

È consigliabile acquisire la strategia in una presentazione per semplificare la discussione e l'aggiornamento.We recommended capturing the strategy in a presentation to facilitate easy discussion and updating. Questa presentazione può essere supportata con un documento, a seconda delle impostazioni cultura e delle preferenze.This presentation can be supported with a document, depending on the culture and preferences.

  • Presentazione della strategia: Potrebbe essere presente una singola presentazione della strategia oppure è possibile scegliere di creare anche versioni di riepilogo per i destinatari della leadership.Strategy presentation: You might have a single strategy presentation, or you might choose to also create summary versions for leadership audiences.

    • Presentazione completa: Questo deve includere il set completo di elementi per la strategia di sicurezza nella presentazione principale o in diapositive di riferimento facoltative.Full presentation: This should include the full set of elements for the security strategy in the main presentation or in optional reference slides.
    • Riepiloghi esecutivi: Le versioni da usare con i dirigenti senior e i membri della lavagna potrebbero contenere solo elementi critici relativi al proprio ruolo, ad esempio l'appetito del rischio, le priorità principali o i rischi accettati.Executive summaries: Versions to use with senior executives and board members might contain only critical elements relevant to their role, such as risk appetite, top priorities, or accepted risks.
  • È anche possibile registrare motivazioni, risultati e motivazioni aziendali nel modello di strategia e piano.You can also record motivations, outcomes, and business justifications in the strategy and plan template.

Procedure consigliate per la creazione della strategia di sicurezza:Best practices for building security strategy:

I programmi riusciti incorporano questi elementi nel processo di strategia di sicurezza:Successful programs incorporate these elements into their security strategy process:

  • Allinea strettamente alla strategia aziendale: La carta di sicurezza è la protezione del valore aziendale.Align closely to business strategy: Security's charter is to protect business value. È fondamentale allineare tutti gli sforzi di sicurezza a tale scopo e ridurre al minimo il conflitto interno.It's critical to align all security efforts to that purpose and minimize internal conflict.

    • Crea una conoscenza condivisa dei requisiti aziendali, it e di sicurezza.Build a shared understanding of business, IT, and security requirements.
    • Integra la sicurezza nelle prime fasi dell'adozione del cloud per evitare le crisi dell'ultimo minuto da rischi evitabili.Integrate security early into cloud adoption to avoid last-minute crises from avoidable risks.
    • Usare un approccio agile per stabilire immediatamente i requisiti di sicurezza minimi e migliorare costantemente le garanzie di sicurezza nel tempo.Use an agile approach to immediately establish minimum security requirements and continuously improve security assurances over time.
    • Incoraggiare la modifica delle impostazioni cultura di sicurezza tramite azioni di leadership proattive intenzionali.Encourage security culture change through intentional proactive leadership actions.

    Per altre informazioni, vedere trasformazioni, approcci mentali e aspettative.For more information, see Transformations, mindsets, and expectations.

  • Modernizza la strategia di sicurezza: La strategia di sicurezza deve includere considerazioni per tutti gli aspetti dell'ambiente tecnologico moderno, il panorama delle minacce correnti e le risorse della community di sicurezza.Modernize security strategy: The security strategy should include considerations for all aspects of modern technology environment, current threat landscape, and security community resources.

    • Adattarsi al modello di responsabilità condivisa del cloud.Adapt to the shared responsibility model of the cloud.
    • Includere tutti i tipi di cloud e le distribuzioni su più cloud.Include all cloud types and multicloud deployments.
    • Preferisce i controlli cloud nativi per evitare attriti superflui e dannosi.Prefer native cloud controls to avoid unnecessary and harmful friction.
    • Integra la community di sicurezza per restare al passo con l'evoluzione dell'utente malintenzionato.Integrate the security community to keep up with the pace of attacker evolution.

Risorse correlate per il contesto aggiuntivo:Related resources for additional context:


Team responsabileAccountable team Team responsabili e di supportoResponsible and supporting teams
  • Team di leadership della sicurezza (Chief Information Security Officer (CISO) o equivalente)Security leadership team (chief information security officer (CISO) or equivalent)
  • Team di strategia cloudCloud strategy team
  • Team di sicurezza cloudCloud security team
  • Team di adozione del cloudCloud adoption team
  • Centro cloud di eccellenza o team IT centraleCloud center of excellence or central IT team
  • Approvazione della strategia:Strategy approval:

    I dirigenti e i leader aziendali con responsabilità per i risultati o i rischi delle linee di business all'interno dell'organizzazione devono approvare questa strategia.Executives and business leaders with accountability for outcomes or risks of business lines within the organization should approve this strategy. Il gruppo potrebbe includere il Board of Directors, a seconda dell'organizzazione.This group might include the board of directors, depending on the organization.

    Passaggio 3: sviluppare un piano di sicurezzaStep 3: Develop a security plan

    La pianificazione pone la strategia di sicurezza in azione definendo i risultati, le attività cardine, le sequenze temporali e i proprietari delle attività.Planning puts the security strategy into action by defining outcomes, milestones, timelines, and task owners. Questo piano delinea inoltre i ruoli e le responsabilità dei team.This plan also outlines the roles and responsibilities of the teams.

    La pianificazione della sicurezza e la pianificazione dell'adozione del cloud non devono essere eseguite in isolamento.Security planning and cloud adoption planning should not be done in isolation. È fondamentale invitare il team per la sicurezza del cloud nei cicli di pianificazione in anticipo, per evitare interruzioni del lavoro o aumentare il rischio di problemi di sicurezza che vengono individuati troppo tardi.It's critical to invite the cloud security team into the planning cycles early, to avoid work stoppage or increased risk from security issues being discovered too late. La pianificazione della sicurezza funziona meglio con una conoscenza approfondita e la consapevolezza del patrimonio digitale e del portfolio IT esistente che deriva dall'integrazione completa nel processo di pianificazione del cloud.Security planning works best with in-depth knowledge and awareness of the digital estate and existing IT portfolio that comes from being fully integrated into the cloud planning process.

    DeliverablesDeliverables:

    • Piano di sicurezza: Un piano di sicurezza deve far parte della documentazione principale sulla pianificazione del cloud.Security plan: A security plan should be part of the main planning documentation for the cloud. Potrebbe trattarsi di un documento che usa il modello di strategia e piano, una presentazione dettagliata o un file di progetto.It might be a document that uses the strategy and plan template, a detailed slide deck, or a project file. Oppure può essere una combinazione di questi formati, a seconda delle dimensioni dell'organizzazione, delle impostazioni cultura e delle procedure standard.Or it might be a combination of these formats, depending on the organization's size, culture, and standard practices.

      Il piano di sicurezza deve includere tutti gli elementi seguenti:The security plan should include all of these elements:

      • Piano di funzioni organizzative, in modo che i team conoscano il modo in cui i ruoli di sicurezza e le responsabilità correnti cambiano con il passaggio al cloud.Organizational functions plan, so teams know how current security roles and responsibilities will change with the move to the cloud.

      • Le competenze in materia di sicurezza prevedono il supporto dei membri del team mentre esplorano le modifiche significative di tecnologia, ruoli e responsabilità.Security skills plan to support team members as they navigate the significant changes in technology, roles, and responsibilities.

      • Architettura della sicurezza tecnica e Guida di orientamento alle funzionalità per la guida ai team tecnici.Technical security architecture and capabilities roadmap to guide technical teams.

        Microsoft fornisce architetture di riferimento e funzionalità tecnologiche che consentono di creare l'architettura e la roadmap, tra cui:Microsoft provides reference architectures and technology capabilities to help you as you build your architecture and roadmap, including:

      • Consapevolezza della sicurezza e piano di istruzione, in modo che tutti i team abbiano una conoscenza fondamentale della sicurezza.Security awareness and education plan, so all teams have basic critical security knowledge.

      • Contrassegno di riservatezza delle risorse per designare asset sensibili utilizzando una tassonomia allineata a un effetto aziendale.Asset sensitivity marking to designate sensitive assets by using a taxonomy aligned to business impact. La tassonomia è compilata congiuntamente da stakeholder aziendali, team di sicurezza e altre parti interessate.The taxonomy is built jointly by business stakeholders, security teams, and other interested parties.

      • Modifiche di sicurezza al piano cloud: Aggiornare altre sezioni del piano di adozione del cloud per riflettere le modifiche attivate dal piano di sicurezza.Security changes to the cloud plan: Update other sections of the cloud adoption plan to reflect changes triggered by the security plan.

    Procedure consigliate per la pianificazione della sicurezza:Best practices for security planning:

    Il piano di sicurezza è probabilmente più efficace se la pianificazione adotta l'approccio seguente:Your security plan is likely to be more successful if your planning takes the approach of:

    • Si supponga di avere un ambiente ibrido: Sono incluse le applicazioni SaaS (Software as a Service) e gli ambienti locali.Assume a hybrid environment: That includes software as a service (SaaS) applications and on-premises environments. Include inoltre più provider di servizi cloud (IaaS) e di piattaforma distribuita come servizio (PaaS), se applicabile.It also includes multiple cloud infrastructure as a service (IaaS) and platform as a service (PaaS) providers, if applicable.

    • Adottare sicurezza agile: Stabilire prima di tutto i requisiti di sicurezza minimi e spostare tutti gli elementi non critici in un elenco con priorità dei passaggi successivi.Adopt agile security: Establish minimum security requirements first and move all noncritical items to a prioritized list of next steps. Non deve trattarsi di un piano tradizionale e dettagliato di 3-5 anni.This should not be a traditional, detailed plan of 3-5 years. Il cloud e l'ambiente per le minacce cambiano troppo velocemente per rendere utile tale tipo di piano.The cloud and threat environment change too fast to make that type of plan useful. Il piano dovrebbe concentrarsi sullo sviluppo dei passaggi iniziali e dello stato finale:Your plan should focus on developing the beginning steps and end state:

      • WINS rapido per il futuro immediato che offrirà un notevole effetto prima che inizino le iniziative a lungo termine.Quick wins for the immediate future that will deliver a high impact before longer-term initiatives begin. L'intervallo di tempo può essere di 3-12 mesi, a seconda delle impostazioni cultura dell'organizzazione, delle procedure standard e di altri fattori.The time frame can be 3-12 months, depending on organizational culture, standard practices, and other factors.
      • Chiara la visione dello stato finale desiderato per guidare il processo di pianificazione di ogni team (che potrebbe richiedere più anni).Clear vision of the desired end state to guide each team's planning process (which might take multiple years to achieve).
    • Condividere il piano in larga misura: Aumenta la conoscenza, il feedback e l'acquisto da parte degli stakeholder.Share the plan broadly: Increase awareness of, feedback from, and buy-in by stakeholders.

    • Soddisfa i risultati strategici: Verificare che il piano sia allineato a e che raggiunga i risultati strategici descritti nella strategia di sicurezza.Meet the strategic outcomes: Ensure that your plan aligns to and accomplishes the strategic outcomes described in the security strategy.

    • Imposta proprietà, responsabilità e scadenze: Assicurarsi che i proprietari per ogni attività siano identificati e di cui è stato eseguito il commit per completare l'attività in un intervallo di tempo specifico.Set ownership, accountability, and deadlines: Ensure that the owners for each task are identified and are committed to completing that task in a specific time frame.

    • Connettersi con il lato umano della sicurezza: Coinvolgere gli utenti durante questo periodo di trasformazione e nuove aspettative:Connect with the human side of security: Engage people during this period of transformation and new expectations by:

      • Supporto attivo della trasformazione dei membri del team con comunicazione chiara e coaching su:Actively supporting team member transformation with clear communication and coaching on:

        • Quali competenze è necessario conoscere.What skills they need to learn.
        • Perché è necessario conoscere le competenze e i vantaggi di questa operazione.Why they need to learn the skills (and the benefits of doing so).
        • Come ottenere queste informazioni (e fornire risorse per aiutarle a apprendere).How to get this knowledge (and provide resources to help them learn).

        È possibile documentare il piano usando il modello strategia e piano.You can document the plan by using the strategy and plan template. Puoi usare formazione online per la sicurezza di Microsoft per aiutare la formazione dei membri del team.And you can use online Microsoft security training to help with education of your team members.

      • La consapevolezza della sicurezza si impegna per aiutare le persone a connettersi in modo genuino a garantire la sicurezza dell'organizzazione.Making security awareness engaging to help people genuinely connect with their part of keeping the organization safe.

    • Esaminare le informazioni e le istruzioni Microsoft: Microsoft ha pubblicato informazioni e prospettive per aiutare l'organizzazione a pianificare la trasformazione nel cloud e una strategia di sicurezza moderna.Review Microsoft learnings and guidance: Microsoft has published insights and perspectives to help your organization plan its transformation to the cloud and a modern security strategy. Il materiale include procedure consigliate per la formazione, la documentazione e la protezione e gli standard consigliati.The material includes recorded training, documentation, and security best practices and recommended standards.

      Per informazioni tecniche per la creazione del piano e dell'architettura, vedere la documentazione sulla sicurezza di Microsoft.For technical guidance to help build your plan and architecture, see the Microsoft security documentation.


    Team responsabileAccountable team Team responsabili e di supportoResponsible and supporting teams
  • Team di sicurezza cloudCloud security team
  • Team di strategia cloudCloud strategy team
  • Team di governance del cloudCloud governance team
  • Tutti i team di rischio dell'organizzazioneAny risk teams in your organization
  • Centro cloud di eccellenza o team IT centraleCloud center of excellence or central IT team
  • Approvazione del piano di sicurezza:Security plan approval:

    Il team di leadership della sicurezza (CISO o equivalente) deve approvare il piano.The security leadership team (CISO or equivalent) should approve the plan.

    Passaggio 4: proteggere i nuovi carichi di lavoroStep 4: Secure new workloads

    È molto più semplice avviare in uno stato sicuro rispetto alla sicurezza di retrofit in un secondo momento nell'ambiente in uso.It's a lot easier to start in a secure state than to retrofit security later into your environment. Si consiglia di iniziare con una configurazione sicura per garantire che i carichi di lavoro vengano migrati e sviluppati e testati in un ambiente protetto.We strongly recommend starting with a secure configuration to ensure that workloads are migrated to, and developed and tested in, a secure environment.

    Durante l'implementazione della zona di destinazione , molte decisioni possono influenzare i profili di rischio e sicurezza.During landing zone implementation, many decisions can affect security and risk profiles. Il team di sicurezza cloud deve esaminare la configurazione della zona di destinazione per assicurarsi che soddisfi gli standard e i requisiti di sicurezza nelle linee di base di sicurezza dell'organizzazione.The cloud security team should review the landing zone configuration to ensure that it meets the security standards and requirements in your organization's security baselines.

    DeliverablesDeliverables:

    • Assicurarsi che le nuove zone di destinazione soddisfino i requisiti di conformità e sicurezza dell'organizzazione.Ensure that new landing zones meet the organization's compliance and security requirements.

    Linee guida per il supporto del completamento del risultato finale:Guidance to support deliverable completion:

    • Combinare i requisiti esistenti e le raccomandazioni per il cloud: Inizia con le linee guida consigliate e adattala ai tuoi requisiti di sicurezza esclusivi.Blend existing requirements and cloud recommendations: Start with recommended guidance and then adapt this to your unique security requirements. Sono stati riscontrati problemi durante il tentativo di applicare criteri e standard locali esistenti, perché spesso fanno riferimento a tecnologie obsolete o approcci di sicurezza.We have seen challenges with trying to enforce existing on-premises policies and standards, because these often refer to outdated technology or security approaches.

      Microsoft ha pubblicato materiale sussidiario per semplificare la creazione delle linee di base di sicurezza:Microsoft has published guidance to help you build your security baselines:

    • Specificare Guardrails: Le misure di sicurezza devono includere il controllo e l'imposizione automatici dei criteri.Provide guardrails: Safeguards should include automated policy auditing and enforcement. Per questi nuovi ambienti, i team devono impegnarsi a controllare e applicare le linee di base di sicurezza dell'organizzazione.For these new environments, teams should strive to both audit and enforce the organization's security baselines. Questi sforzi possono aiutare a ridurre al minimo le sorprese della sicurezza durante lo sviluppo di carichi di lavoro, nonché l'integrazione continua e la distribuzione continua (CI/CD) dei carichi di lavoro.These efforts can help minimize security surprises during the development of workloads, as well as continuous integration and continuous deployment (CI/CD) of workloads.

      Microsoft offre diverse funzionalità native di Azure per abilitare questa operazione:Microsoft provides several native capabilities in Azure to enable this:

      • Punteggio sicuro: usare una valutazione con punteggio del comportamento di sicurezza di Azure per tenere traccia dei progetti e delle attività di sicurezza dell'organizzazione.Secure score: Use a scored assessment of your Azure security posture to track security efforts and projects in your organization.
      • Progetti di Azure: architetti Cloud e gruppi IT centralizzati possono definire un set ripetibile di risorse di Azure che implementa e rispetta gli standard, i modelli e i requisiti di un'organizzazione.Azure Blueprints: Cloud architects and centralized IT groups can define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements.
      • Criteri di Azure: questa è la base delle funzionalità di visibilità e controllo usate dagli altri servizi.Azure Policy: This is the foundation of the visibility and control capabilities that the other services use. Criteri di Azure è integrato in Azure Resource Manager, quindi è possibile controllare le modifiche e applicare i criteri in qualsiasi risorsa in Azure prima, durante o dopo la sua creazione.Azure Policy is integrated into Azure Resource Manager, so you can audit changes and enforce policies across any resource in Azure before, during, or after its creation.
      • Migliorare le operazioni della zona di destinazione: usare le procedure consigliate per migliorare la sicurezza in una zona di destinazione.Improve landing zone operations: Use best practices for improving security within a landing zone.

    Team responsabileAccountable team Team responsabili e di supportoResponsible and supporting teams
  • Team di sicurezza cloudCloud security team
  • Team di adozione del cloudCloud adoption team
  • Team della piattaforma cloudCloud platform team
  • Team di strategia cloudCloud strategy team
  • Team di governance del cloudCloud governance team
  • Centro cloud di eccellenza o team IT centraleCloud center of excellence or central IT team
  • Passaggio 5: proteggere i carichi di lavoro cloud esistentiStep 5: Secure existing cloud workloads

    Molte organizzazioni hanno già distribuito asset in ambienti cloud aziendali senza applicare le procedure di sicurezza consigliate, creando un maggiore rischio per l'azienda.Many organizations have already deployed assets to enterprise cloud environments without applying the security best practices, creating increased business risk.

    Quando si garantisce che le nuove applicazioni e le zone di destinazione seguano le procedure consigliate per la sicurezza, è necessario concentrarsi sull'introduzione degli ambienti esistenti agli stessi standard.After you ensure that new applications and landing zones follow security best practices, you should focus on bringing existing environments up to the same standards.

    DeliverablesDeliverables:

    • Assicurarsi che tutti gli ambienti cloud e le zone di destinazione esistenti soddisfino i requisiti di conformità e sicurezza dell'organizzazione.Ensure that all existing cloud environments and landing zones meet the organization's compliance and security requirements.
    • Testare la conformità operativa delle distribuzioni di produzione usando i criteri per le linee di base di sicurezza.Test operational readiness of production deployments by using policies for security baselines.
    • Convalidare la conformità alle linee guida e ai requisiti di sicurezza per le linee di base di sicurezza.Validate adherence to design guidance and security requirements for security baselines.

    Linee guida per il supporto del completamento del risultato finale:Guidance to support deliverable completion:

    • Usare le stesse linee di base di sicurezza create nel passaggio 4 come stato ideale.Use the same security baselines that you built in Step 4 as your ideal state. Potrebbe essere necessario modificare alcune impostazioni dei criteri solo per controllarli anziché applicarli.You might have to adjust some policy settings to only audit instead of enforcing them.
    • Bilancia i rischi operativi e di sicurezza.Balance operational and security risk. Poiché questi ambienti potrebbero ospitare sistemi di produzione che consentono processi aziendali critici, potrebbe essere necessario implementare i miglioramenti della sicurezza in modo incrementale per evitare il rischio di tempi di inattività operativi.Because these environments might host production systems that enable critical business processes, you might need to implement security improvements incrementally to avoid risking operational downtime.
    • Classificare in ordine di priorità l'individuazione e la correzione dei rischi per la sicurezza in base alla criticità aziendale.Prioritize the discovery and remediation of security risk by business criticality. Inizia con carichi di lavoro con un elevato effetto aziendale se compromessi e carichi di lavoro con un'esposizione elevata al rischio.Start with workloads that have a high business impact if compromised and workloads that have a high exposure to risk.

    Per altre informazioni, vedere identificare e classificare le applicazioni criticheper l'azienda.For more information, see Identify and classify business-critical applications.


    Team responsabileAccountable team Team responsabili e di supportoResponsible and supporting teams
  • Team di adozione del cloudCloud adoption team
  • Team di adozione del cloudCloud adoption team
  • Team di strategia cloudCloud strategy team
  • Team di sicurezza cloudCloud security team
  • Team di governance del cloudCloud governance team
  • Centro cloud di eccellenza o team IT centraleCloud center of excellence or central IT team
  • Passaggio 6: governare per gestire e migliorare il comportamento della sicurezzaStep 6: Govern to manage and improve security posture

    Come tutte le discipline moderne, la sicurezza è un processo iterativo che dovrebbe concentrarsi sul miglioramento continuo.Like all modern disciplines, security is an iterative process that should focus on continuous improvement. Il comportamento della sicurezza può anche decadere se le organizzazioni non si concentrano sul tempo.Security posture can also decay if organizations don't sustain focus on it over time.

    Un'applicazione coerente di requisiti di sicurezza deriva da regole di governance valide e soluzioni automatiche.Consistent application of security requirements comes from sound governance disciplines and automated solutions. Dopo che il team di sicurezza cloud ha definito le basi di riferimento per la sicurezza, questi requisiti devono essere controllati per assicurarsi che vengano applicati in modo coerente a tutti gli ambienti cloud (e applicati laddove applicabile).After the cloud security team defines the security baselines, those requirements should be audited to ensure they're applied consistently to all cloud environments (and enforced where applicable).

    DeliverablesDeliverables:

    • Verificare che le linee di base di sicurezza dell'organizzazione siano applicate a tutti i sistemi pertinenti.Ensure that the organization's security baselines are applied to all relevant systems. Controllare le anomalie utilizzando un Punteggio sicuro o un meccanismo simile.Audit anomalies by using a secure score or a similar mechanism.
    • Documentare i criteri di base di sicurezza, i processi e le linee guida di progettazione nel modello di disciplina di base di sicurezza.Document your Security Baseline policies, processes, and design guidance in the Security Baseline discipline template.

    Linee guida per il supporto del completamento del risultato finale:Guidance to support deliverable completion:


    Team responsabileAccountable team Team responsabili e di supportoResponsible and supporting teams
  • Team di governance del cloudCloud governance team
  • Team di strategia cloudCloud strategy team
  • Team di sicurezza cloudCloud security team
  • Centro cloud di eccellenza o team IT centraleCloud center of excellence or central IT team
  • Passaggi successiviNext steps

    I passaggi descritti in questa guida consentono di implementare la strategia, i controlli, i processi, le competenze e la cultura necessari per gestire in modo coerente i rischi per la sicurezza nell'azienda.The steps in this guide have helped you implement the strategy, controls, processes, skills, and culture needed to consistently manage security risks across the enterprise.

    Quando si continua a usare la modalità operativa di sicurezza del cloud, tenere presenti i passaggi seguenti:As you continue into the operations mode of cloud security, consider these next steps: