Criteri di base della sicurezza nativi del cloudCloud-native Security Baseline policy

La disciplina di base della sicurezza è una delle cinque discipline della governance del cloud.The Security Baseline discipline is one of the Five Disciplines of Cloud Governance. Questa disciplina è incentrata sugli argomenti generali sulla sicurezza, tra cui la protezione della rete, gli asset digitali e i dati.This discipline focuses on general security topics including protection of the network, digital assets, and data. Come descritto nella Guida alla revisione dei criteri, il Framework di adozione del cloud include tre livelli di criteri di esempio: conformi a cloud-native, Enterprise e cloud-design-Principle per ciascuna disciplina.As outlined in the policy review guide, the Cloud Adoption Framework includes three levels of sample policy: cloud-native, enterprise, and cloud-design-principle-compliant for each of the disciplines. Questo articolo illustra i criteri di esempio nativi del cloud per la disciplina della linea di base di sicurezza.This article discusses the cloud-native sample policy for the Security Baseline discipline.

Nota

Microsoft non intende dettare criteri aziendali o IT.Microsoft is in no position to dictate corporate or IT policy. Questo articolo consente di prepararsi a una revisione interna dei criteri.This article will help you prepare for an internal policy review. Si presuppone che questo criterio di esempio venga esteso, convalidato e testato in base ai criteri aziendali prima di provare a usarlo.It is assumed that this sample policy will be extended, validated, and tested against your corporate policy before attempting to use it. Qualsiasi utilizzo di questo criterio di esempio è sconsigliato.Any use of this sample policy as-is is discouraged.

Allineamento dei criteriPolicy alignment

Questo criterio di esempio sintetizza uno scenario nativo del cloud, ovvero gli strumenti e le piattaforme fornite da Azure sono sufficienti per gestire i rischi aziendali interessati da una distribuzione.This sample policy synthesizes a cloud-native scenario, meaning that the tools and platforms provided by Azure are sufficient to manage business risks involved in a deployment. In questo scenario, si presume che una semplice configurazione dei servizi di Azure predefiniti offra una protezione sufficiente delle risorse.In this scenario, it is assumed that a simple configuration of the default Azure services provides sufficient asset protection.

Conformità e sicurezza del cloudCloud security and compliance

Azure integra la sicurezza in ogni suo aspetto, offrendo vantaggi esclusivi che derivano da una intelligence globale per la sicurezza, controlli relativi ai clienti e un'infrastruttura dotata di protezione avanzata.Security is integrated into every aspect of Azure, offering unique security advantages derived from global security intelligence, sophisticated customer-facing controls, and a secure, hardened infrastructure. Questa combinazione avanzata contribuisce alla protezione delle applicazioni e dei dati e al supporto del lavoro richiesto per la conformità e offre una sicurezza a costi contenuti per organizzazioni di qualsiasi dimensione.This powerful combination helps protect your applications and data, support your compliance efforts, and provide cost-effective security for organizations of all sizes. Questo approccio consente di creare una solida posizione di partenza per qualsiasi criterio di sicurezza, ma non nega la necessità di pratiche di sicurezza ugualmente elevate relative ai servizi di protezione in uso.This approach creates a strong starting position for any security policy, but does not negate the need for equally strong security practices related to the security services being used.

Criteri di sicurezza integratiBuilt-in security controls

È difficile mantenere un'infrastruttura di sicurezza avanzata quando i controlli di sicurezza non sono intuitivi e devono essere configurati separatamente.It's hard to maintain a strong security infrastructure when security controls are not intuitive and need to be configured separately. Azure offre criteri di sicurezza integrati per un'ampia gamma di servizi che consentono di proteggere rapidamente i dati e i carichi di lavoro, oltre a gestire i rischi in ambienti ibridi.Azure includes built-in security controls across a variety of services that help you protect data and workloads quickly and manage risk across hybrid environments. Anche le soluzioni partner integrate agevolano la transizione delle protezioni esistenti alla piattaforma cloud.Integrated partner solutions also let you easily transition existing protections to the cloud.

Criteri di identità nativi del cloudCloud-native identity policies

L'identità è percepita come il nuovo livello limite per la sicurezza, sostituendo in questo ruolo la prospettiva tradizionale incentrata sulla rete.Identity is becoming the new boundary control plane for security, taking over that role from the traditional network-centric perspective. I perimetri di rete sono diventati sempre più porosi e la difesa perimetrale non può essere così efficace come prima dell'avvento di BYOD (Bring Your Own Device) e delle applicazioni cloud.Network perimeters have become increasingly porous and that perimeter defense cannot be as effective as it was before the advent of bring your own device (BYOD) and cloud applications. Il controllo di accesso e la gestione delle identità di Azure consentono un accesso sicuro a tutte le applicazioni.Azure identity management and access control enable seamless secure access to all your applications.

Un esempio di criteri nativi del cloud per l'identità tra le directory cloud e locali può includere requisiti simili ai seguenti:A sample cloud-native policy for identity across cloud and on-premises directories, could include requirements like the following:

  • Accesso autorizzato alle risorse con controllo degli accessi in base al ruolo (RBAC), autenticazione a più fattori e Single Sign-On (SSO).Authorized access to resources with role-based access control (RBAC), multi-factor authentication, and single sign-on (SSO).
  • Attenuazione rapida delle identità utente sospette di compromissione.Quick mitigation of user identities suspected of compromise.
  • JIT (just-in-Time), sufficiente accesso concesso in base a attività per attività, per limitare l'esposizione delle credenziali di amministratore con privilegi eccessivi.Just-in-time (JIT), just-enough access granted on a task-by-task basis to limit exposure of overprivileged admin credentials.
  • Identità utente estesa e accesso ai criteri tra più ambienti tramite Azure Active Directory.Extended user identity and access to policies across multiple environments through Azure Active Directory.

Sebbene sia importante comprendere la disciplina della linea di base di identità nel contesto della disciplina della linea di base di sicurezza, le cinque discipline della governance del cloud lo considerano come una disciplina separata.While it is important to understand the Identity Baseline discipline in the context of the Security Baseline discipline, the Five Disciplines of Cloud Governance treats it as a separate discipline.

Criteri di accesso alla reteNetwork access policies

Il controllo della rete comprende la configurazione, la gestione e la protezione degli elementi della rete, come la rete virtuale, il bilanciamento del carico, il DNS e i gateway.Network control includes the configuration, management, and securing of network elements such as virtual networking, load balancing, DNS, and gateways. Questi controlli sono un mezzo di comunicazione e interoperabilità dei servizi.The controls provide a means for services to communicate and interoperate. Azure dispone di una infrastruttura di rete solida e protetta per supportare i requisiti di connettività di applicazioni e servizi.Azure includes a robust and secure networking infrastructure to support your application and service connectivity requirements. La connettività di rete è possibile tra le risorse residenti in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

I criteri nativi del cloud per i controlli di rete possono includere requisiti simili ai seguenti:A cloud-native policy for network controls may include requirements like the following:

  • Le connessioni ibride alle risorse locali potrebbero non essere consentite in un criterio nativo del cloud.Hybrid connections to on-premises resources, might not be allowed in a cloud-native policy. Se una connessione ibrida risulta necessaria, un esempio di criteri di sicurezza aziendali più solido costituisce un riferimento più pertinente.Should a hybrid connection prove necessary, a more robust enterprise security policy sample would be a more relevant reference.
  • Gli utenti possono stabilire connessioni protette ad Azure e al suo interno tramite reti virtuali e gruppi di sicurezza di rete.Users can establish secure connections to and within Azure using virtual networks and network security groups.
  • Il firewall nativo di Windows Azure protegge gli host dal traffico di rete dannoso limitando l'accesso alle porte.The native Windows Azure Firewall protects hosts from malicious network traffic by limiting port access. Un esempio valido di questo criterio è un requisito per bloccare o non abilitare il traffico direttamente a una macchina virtuale tramite SSH/RDP.A good example of this policy is a requirement to block or not enable traffic directly to a VM over SSH/RDP.
  • Servizi come il Web Application Firewall (WAF) di Azure in applicazione Azure gateway e la protezione DDoS di Azure protegge le applicazioni e garantiscono la disponibilità per le macchine virtuali in esecuzione in Azure.Services like the Azure Web Application Firewall (WAF) on Azure Application Gateway and Azure DDoS protection safeguard applications and ensure availability for virtual machines running in Azure. Queste funzionalità non devono essere disabilitate.These features should not be disabled.

Protezione dei datiData protection

Uno degli aspetti fondamentali della protezione dei dati nel cloud consiste nel tenere conto dei possibili stati in cui possono trovarsi i dati e dei controlli disponibili per ogni stato.One of the keys to data protection in the cloud is accounting for the possible states in which your data may occur, and what controls are available for each state. Per quanto concerne le procedure consigliate per la sicurezza dei dati e la crittografia in Azure, le raccomandazioni verteranno sugli stati dei dati seguenti:For the purpose of Azure data security and encryption best practices, recommendations focus on the following data states:

  • I controlli di crittografia dei dati sono integrati nei servizi dalle macchine virtuali all'archiviazione e nel database SQL.Data encryption controls are built into services from virtual machines to storage and SQL Database.
  • Mentre i dati si spostano fra cloud e clienti, è possibile proteggerli tramite protocolli di crittografia standard del settore.As data moves between clouds and customers, it can be protected using industry-standard encryption protocols.
  • Azure Key Vault consente agli utenti di proteggere e controllare chiavi crittografiche, password, stringhe di connessione e certificati utilizzati da servizi e applicazioni cloud.Azure Key Vault enables users to safeguard and control cryptographic keys, passwords, connection strings and certificates used by cloud applications and services.
  • Azure Information Protection consentirà di classificare, etichettare e proteggere i dati sensibili all'interno delle applicazioni.Azure Information Protection will help classify, label, and protect your sensitive data within applications.

Anche se queste funzionalità sono integrate in Azure, quanto descritto in precedenza richiede una configurazione specifica e potrebbe comportare costi aggiuntivi.While these features are built into Azure, each of the above requires configuration and could increase costs. L'allineamento di ogni funzionalità nativa del cloud con una strategia di classificazione dei dati è molto suggerito.Alignment of each cloud-native feature with a data classification strategy is highly suggested.

Monitoraggio della protezioneSecurity monitoring

Il monitoraggio della sicurezza è una strategia attiva per il controllo delle risorse che permette di identificare i sistemi non conformi agli standard o alle procedure consigliate dell'organizzazione.Security monitoring is a proactive strategy that audits your resources to identify systems that do not meet organizational standards or best practices. Il Centro sicurezza di Azure offre linee di base di sicurezza unificate e la protezione avanzata dalle minacce di Azure nei carichi di lavoro cloud ibridi.Azure Security Center provides unified security baseline and Azure Advanced Threat Protection across hybrid cloud workloads. Grazie al Centro sicurezza di Azure è possibile applicare criteri di sicurezza ai flussi di lavoro, limitare l'esposizione alle minacce, rilevare e rispondere agli attacchi, tra cui:With Security Center, you can apply security policies across your workloads, limit your exposure to threats, and detect and respond to attacks, including:

  • Visualizzazione unificata della sicurezza in tutti i carichi di lavoro locali e cloud con il Centro sicurezza di Azure.Unified view of security across all on-premises and cloud workloads with Azure Security Center.
  • Monitoraggio continuo e valutazioni della sicurezza per garantire la conformità e correggere eventuali vulnerabilità.Continuous monitoring and security assessments to ensure compliance and remediate any vulnerabilities.
  • Strumenti interattivi e Intelligence per le minacce contestuali per un'analisi semplificata.Interactive tools and contextual threat intelligence for streamlined investigation.
  • Registrazione completa e integrazione con le informazioni di sicurezza esistenti.Extensive logging and integration with existing security information.
  • Riduce la necessità di soluzioni di sicurezza dispendiose e non integrate.Reduces the need for expensive, nonintegrated, one off security solutions.

Estendi i criteri nativi del cloudExtend cloud-native policies

L'uso del cloud potrebbe ridurre alcuni problemi legati alla protezione.Using the cloud can reduce some of the security burden. Microsoft garantisce la sicurezza fisica dei data center di Azure e aiuta a proteggere la piattaforma cloud da minacce infrastrutturali, ad esempio un attacco DDoS.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Dato che Microsoft dispone di migliaia di specialisti Cybersecurity che lavorano quotidianamente sulla sicurezza, le risorse per rilevare, prevenire o attenuare attacchi cibernetici sono considerevoli.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. In realtà, mentre le organizzazioni hanno dovuto preoccuparsi se il cloud è stato protetto, la maggior parte del tempo è consapevole che il livello di investimento nelle persone e nell'infrastruttura specializzata effettuata da fornitori come Microsoft rende il cloud più sicuro rispetto alla maggior parte dei data center locali.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

L'uso del cloud potrebbe ridurre alcuni problemi legati alla protezione.Using the cloud can reduce some of the security burden. Microsoft garantisce la sicurezza fisica dei data center di Azure e aiuta a proteggere la piattaforma cloud da minacce infrastrutturali, ad esempio un attacco DDoS.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Dato che Microsoft dispone di migliaia di specialisti Cybersecurity che lavorano quotidianamente sulla sicurezza, le risorse per rilevare, prevenire o attenuare attacchi cibernetici sono considerevoli.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. In realtà, mentre le organizzazioni hanno dovuto preoccuparsi se il cloud è stato protetto, la maggior parte del tempo è consapevole che il livello di investimento nelle persone e nell'infrastruttura specializzata effettuata da fornitori come Microsoft rende il cloud più sicuro rispetto alla maggior parte dei data center locali.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

Anche con questo investimento in una linea di base di sicurezza nativa del cloud, è consigliabile che tutti i criteri di base di sicurezza estendano i criteri nativi cloud predefiniti.Even with this investment in a cloud-native security baseline, it is suggested that any Security Baseline policy extend the default cloud-native policies. Di seguito sono riportati alcuni esempi di criteri estesi che devono essere presi in considerazione, anche in un ambiente cloud nativo:The following are examples of extended policies that should be considered, even in a cloud-native environment:

  • Proteggere le macchine virtuali.Secure VMs. La sicurezza deve essere una delle principali priorità di ogni organizzazione e per eseguirla in modo efficace sono necessarie diverse operazioni.Security should be every organization's top priority, and doing it effectively requires several things. Bisogna valutare lo stato della sicurezza, della protezione contro potenziali minacce, oltre a rilevare e rispondere rapidamente alle minacce che si verificano.You must assess your security state, protect against security threats, and then detect and respond rapidly to threats that occur.
  • Proteggere il contenuto della VM.Protect VM contents. Configurare backup automatici a intervalli regolari è fondamentale per proteggere le macchine dagli errori dell'utente.Setting up regular automated backups is essential to protect against user errors. Ma non è sufficiente. è inoltre necessario assicurarsi che i backup siano protetti da attacchi cibernetici e siano disponibili quando sono necessari.This isn't enough, though; you must also make sure that your backups are safe from cyberattacks and are available when you need them.
  • Monitorare le applicazioni.Monitor applications. Questo modello include numerose attività, tra cui ottenere informazioni sull'integrità delle macchine virtuali, comprendere in che modo interagiscono e definire i modi per monitorare le applicazioni in esecuzione su queste macchine virtuali.This pattern encompasses several tasks, including getting insight into the health of your VMs, understanding interactions among them, and establishing ways to monitor the applications these VMs run. Tutte queste attività sono fondamentali per mantenere le applicazioni in esecuzione anche di notte.All of these tasks are essential in keeping your applications running around the clock.
  • Proteggere e controllare l'accesso ai dati.Secure and audit data access. Le organizzazioni devono controllare tutti gli accessi ai dati e usare funzionalità avanzate di machine learning per richiamare deviazioni da modelli di accesso regolari.Organizations should audit all data access and use advanced machine learning capabilities to call out deviations from regular access patterns.
  • Procedura di failover.Failover practice. Le operazioni cloud con tolleranze minime per gli errori devono essere in grado di effettuare il failover o il ripristino da un evento imprevisto Cybersecurity o Platform.Cloud operations that have low tolerances for failure must be capable of failing over or recovering from a cybersecurity or platform incident. Queste procedure non devono essere semplicemente documentate, ma devono essere esercitate ogni trimestre.These procedures must not simply be documented, but should be practiced quarterly.

Passaggi successiviNext steps

Dopo aver esaminato i criteri di base della sicurezza di esempio per le soluzioni native del cloud, tornare alla guida alla revisione dei criteri per iniziare a compilare questo esempio per creare criteri personalizzati per l'adozione del cloud.Now that you've reviewed the sample Security Baseline policy for cloud-native solutions, return to the policy review guide to start building on this sample to create your own policies for cloud adoption.