Definizioni dei criteri di esempio per la baseline di sicurezzaSecurity Baseline sample policy statements

Le singole definizioni dei criteri del cloud sono linee guida per affrontare i rischi specifici identificati durante il processo di valutazione dei rischi.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Queste definizioni devono fornire un riassunto conciso dei rischi e dei piani per gestirli.These statements should provide a concise summary of risks and plans to deal with them. Ogni definizione di istruzione deve includere i tipi di informazioni seguenti:Each statement definition should include these pieces of information:

  • Rischio tecnico: Riepilogo del rischio che verrà indirizzato da questo criterio.Technical risk: A summary of the risk this policy will address.
  • Istruzione per i criteri: Una chiara spiegazione di riepilogo dei requisiti dei criteri.Policy statement: A clear summary explanation of the policy requirements.
  • Opzioni tecniche: Raccomandazioni di utilità pratica, specifiche o altre istruzioni che i team IT e gli sviluppatori possono usare per l'implementazione dei criteri.Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

Le istruzioni dei criteri di esempio seguenti affrontano i rischi aziendali comuni correlati alla sicurezza.The following sample policy statements address common security-related business risks. Queste istruzioni sono esempi a cui è possibile fare riferimento durante la stesura di istruzioni dei criteri per soddisfare le esigenze dell'organizzazione.These statements are examples you can reference when drafting policy statements to address your organization's needs. Questi esempi non sono destinati a essere proscrittivi e sono potenzialmente disponibili diverse opzioni relative ai criteri per la gestione di ogni rischio identificato.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Collaborare a stretto contatto con i team aziendali, di sicurezza e IT per identificare i criteri migliori per un set di rischi esclusivo.Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

Classificazione degli assetAsset classification

Rischio tecnico: Gli asset che non sono stati identificati correttamente come cruciali o che coinvolgono dati sensibili potrebbero non ricevere protezioni sufficienti, causando potenziali perdite di dati o problemi aziendali.Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

Istruzione per i criteri: Tutti gli asset distribuiti devono essere classificati in base alla criticità e alla classificazione dei dati.Policy statement: All deployed assets must be categorized by criticality and data classification. Le classificazioni devono essere esaminate dal team di governance del cloud e dal proprietario dell'applicazione prima della distribuzione nel cloud.Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

Possibili opzioni di progettazione: Definire gli standard di tag delle risorse e assicurarsi che il personale IT li applichi costantemente alle risorse distribuite usando i tag delle risorse di Azure.Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

Crittografia dei datiData encryption

Rischio tecnico: Il rischio che i dati protetti vengano esposti durante l'archiviazione.Technical risk: There is a risk of protected data being exposed during storage.

Istruzione per i criteri: Tutti i dati protetti devono essere crittografati quando sono inattivi.Policy statement: All protected data must be encrypted when at rest.

Possibili opzioni di progettazione: Vedere l'articolo Panoramica della crittografia di Azure per una descrizione del modo in cui viene eseguita la crittografia dei dati inattivi sulla piattaforma Azure.Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. Devono essere considerati anche controlli aggiuntivi come la crittografia dei dati dell'account e il controllo della modifica delle impostazioni dell'account di archiviazione.Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

Isolamento reteNetwork isolation

Rischio tecnico: La connettività tra le reti e le subnet all'interno delle reti introduce potenziali vulnerabilità che possono causare perdite di dati o interruzione di servizi cruciali.Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

Istruzione per i criteri: Le subnet di rete contenenti dati protetti devono essere isolate dalle altre subnet.Policy statement: Network subnets containing protected data must be isolated from any other subnets. Il traffico di rete tra le subnet di dati protetti deve essere controllato regolarmente.Network traffic between protected data subnets is to be audited regularly.

Possibili opzioni di progettazione: In Azure, l'isolamento della rete e della subnet viene gestito tramite la rete virtuale di Azure.Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

Accesso esterno sicuroSecure external access

Rischio tecnico: Consentendo l'accesso ai carichi di lavoro dalla rete Internet pubblica, viene introdotto il rischio di intrusione, causando un'esposizione non autorizzata ai dati o un'eventuale interferenza aziendale.Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

Istruzione per i criteri: Non è possibile accedere direttamente a nessuna subnet contenente dati protetti tramite Internet pubblico o tra più data center.Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. L'accesso a tali subnet deve essere instradato tramite subnet intermedie.Access to those subnets must be routed through intermediate subnets. Tutti gli accessi a tali subnet devono passare attraverso una soluzione firewall in grado di eseguire la scansione dei pacchetti e applicare funzioni di blocco.All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

Possibili opzioni di progettazione: In Azure proteggere gli endpoint pubblici distribuendo una rete perimetrale tra la rete Internet pubblica e la rete basata sul cloud.Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Prendere in considerazione la distribuzione, la configurazione e l'automazione del firewall di Azure.Consider deployment, configuration, and automation of Azure Firewall.

Protezione DDoSDDoS protection

Rischio tecnico: Gli attacchi di tipo Denial of Service (DDoS) distribuiti possono causare interruzioni aziendali.Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

Istruzione per i criteri: Distribuire meccanismi di mitigazione DDoS automatici a tutti gli endpoint di rete accessibili pubblicamente.Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. Nessun sito Web pubblico supportato da IaaS dovrebbe essere esposto a Internet senza DDoS.No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

Possibili opzioni di progettazione: Usare la protezione DDoS di Azure standard per ridurre al minimo le rotture dovute ad attacchi DDoS.Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

Proteggere la connettività localeSecure on-premises connectivity

Rischio tecnico: Il traffico non crittografato tra la rete cloud e l'ambiente locale tramite Internet pubblico è vulnerabile all'intercettazione, introducendo il rischio di esposizione dei dati.Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

Istruzione per i criteri: Tutte le connessioni tra le reti locali e cloud devono essere applicate tramite una connessione VPN crittografata protetta o un collegamento WAN privato dedicato.Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

Possibili opzioni di progettazione: In Azure usare ExpressRoute o la VPN di Azure per stabilire connessioni private tra le reti locali e cloud.Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

Monitoraggio della rete e applicazione di controlliNetwork monitoring and enforcement

Rischio tecnico: Le modifiche alla configurazione di rete possono comportare nuove vulnerabilità e rischi per l'esposizione dei dati.Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

Istruzione per i criteri: Gli strumenti di governance devono controllare e applicare i requisiti di configurazione di rete definiti dal team di base di sicurezza.Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

Possibili opzioni di progettazione: In Azure è possibile monitorare l'attività di rete con azure Network Watchere il Centro sicurezza di Azure può aiutare a identificare le vulnerabilità della sicurezza.Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. Criteri di Azure consente di limitare le risorse di rete e i criteri di configurazione delle risorse in base ai limiti definiti dal team responsabile della sicurezza.Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

Verifica della sicurezzaSecurity review

Rischio tecnico: Nel tempo, emergono nuove minacce per la sicurezza e tipi di attacco, aumentando il rischio di esposizione o distruzione delle risorse cloud.Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

Istruzione per i criteri: Le tendenze e i potenziali exploit che possono influenzare le distribuzioni cloud devono essere esaminati regolarmente dal team di sicurezza per fornire aggiornamenti agli strumenti di base della sicurezza usati nel cloud.Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

Possibili opzioni di progettazione: Stabilire una riunione di revisione della sicurezza regolare che includa i membri del team IT e di governance pertinenti.Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. Esaminare i dati di sicurezza e le metriche esistenti per stabilire i gap negli strumenti di base di riferimento e criteri correnti e aggiornare i criteri per correggere eventuali nuovi rischi.Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. USA Azure Advisor e il Centro sicurezza di Azure per ottenere informazioni dettagliate di utilità pratica sulle minacce emergenti specifiche per le distribuzioni.Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

Passaggi successiviNext steps

Usare gli esempi citati in questo articolo come punto di partenza per elaborare criteri applicabili a rischi per la sicurezza specifici, in linea con i piani di adozione del cloud.Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

Per iniziare a sviluppare le proprie istruzioni dei criteri di base di sicurezza personalizzati, scaricare il modello di disciplina Baseline Security.To begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

Per accelerare l'adozione di questa disciplina, scegliere la Guida alla governance che si allinea maggiormente all'ambiente.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Modificare quindi la progettazione per incorporare le decisioni relative a criteri aziendali specifici.Then modify the design to incorporate your specific corporate policy decisions.

Sulla base dei rischi e della tolleranza, stabilire un processo per controllare e comunicare la conformità ai criteri della Baseline di sicurezza.Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.

Establish policy compliance processes (Stabilire i processi di conformità ai criteri)Establish policy compliance processes