Procedure consigliate per la sicurezza di AzureAzure security best practices

Queste sono le principali procedure consigliate per la sicurezza di Azure consigliate da Microsoft in base alle lezioni acquisite tra clienti e ambienti personalizzati.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

È possibile visualizzare una presentazione video di queste procedure consigliate in Microsoft Tech Community.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. people: educare i team sul percorso di sicurezza del cloud1. People: Educate teams about the cloud security journey

Il team deve comprendere il percorso in cui si trovano.The team needs to understand the journey they're on.

Cosa: istruire la sicurezza e i team IT nel percorso di sicurezza del cloud e le modifiche che verranno spostate, tra cui:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Modifiche alle minacce nel cloudChanges to threats in the cloud
  • Modello di responsabilità condivisa e come influisca sulla sicurezzaShared responsibility model and how it impacts security
  • Modifiche culturali e di ruolo/responsabilità che in genere accompagnano l'adozione del cloudCultural and role/responsibility changes that typically accompany cloud adoption

Perché: il passaggio al cloud è una modifica significativa che richiede un cambio di mentalità e approccio per la sicurezza.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. Sebbene la sicurezza dei risultati fornita all'organizzazione non cambi, il modo migliore per eseguire questa operazione nel cloud spesso cambia, a volte in modo significativo.While the outcomes security provides to the organization won’t change, the best way to accomplish this in the cloud often changes, sometimes significantly.

Per molti versi, il passaggio al cloud è simile al passaggio da una casa autonoma a una costruzione di un appartamento di lusso di alto livello.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. Si ha ancora un'infrastruttura di base (Plumbing, energia elettrica e così via) ed è possibile eseguire attività simili (socializzare, cucinare, TV e Internet e così via), ma c'è spesso una differenza rispetto alla costruzione (palestra, ristoranti e così via), che li fornisce e li gestisce e la routine giornaliera.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Chi: tutti gli addetti alla sicurezza e all'organizzazione IT con le responsabilità di sicurezza dovrebbero avere familiarità con questo contesto e le modifiche (da cio/CISO a tecnici).Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Procedura: fornire ai team il contesto necessario per la distribuzione e il funzionamento corretto durante la transizione all'ambiente cloud.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment. Microsoft ha pubblicato le lezioni apprese dai clienti e dalla nostra organizzazione IT per i loro viaggi nel cloud:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

Vedere anche il benchmark di sicurezza di Azure GS-3: allinea ruoli organizzazione, responsabilità e responsabilità.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. people: educare i team alla tecnologia di sicurezza cloud2. People: Educate teams on cloud security technology

Gli utenti devono sapere dove stanno andando.People need to understand where they're going.

Cosa: assicurarsi che i team abbiano tempo riservato per la formazione tecnica sulla protezione delle risorse cloud, tra cui:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Tecnologia cloud e tecnologia di sicurezza cloudCloud technology and cloud security technology
  • Configurazioni consigliate e procedure consigliateRecommended configurations and best practices
  • Dove ottenere ulteriori dettagli tecnici in base alle esigenzeWhere to learn more technical details as needed

Perchéi team tecnici devono accedere alle informazioni tecniche per prendere decisioni informate sulla sicurezza.Why: Technical teams need access to technical information to make sound informed security decisions. I team tecnici sono bravi ad apprendere nuove tecnologie per il lavoro, ma il volume di dettagli nel cloud spesso travolge la loro capacità di apprendimento nella loro routine giornaliera.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

La strutturazione del tempo dedicato per l'apprendimento tecnico contribuisce a garantire che gli utenti abbiano tempo per creare confidenza sulla propria capacità di valutare la sicurezza del cloud e pensare a come adattare le competenze e i processi esistenti.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. Anche i team operativi speciali più talentuosi nei militari hanno bisogno di formazione e Intelligence per ottenere prestazioni ottimali.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Chi: tutti i ruoli che interagiscono direttamente con la tecnologia cloud (in sicurezza e reparti IT) dovrebbero dedicare tempo per l'apprendimento tecnico sulle piattaforme cloud e come proteggerli.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Inoltre, la sicurezza e i responsabili tecnici IT (e spesso Project Manager) devono sviluppare familiarità con alcuni dettagli tecnici per la protezione delle risorse cloud, in quanto ciò consentirà di condurre e coordinare in modo più efficace le iniziative cloud.Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Come: assicurarsi che i professionisti tecnici in materia di sicurezza debbano riservare tempo per la formazione autonoma su come proteggere le risorse cloud.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. Sebbene non sia sempre fattibile, è possibile fornire l'accesso alla formazione formale con un insegnante esperto e laboratori pratici.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Importante

I protocolli di identità sono fondamentali per il controllo degli accessi nel cloud, ma spesso non hanno priorità nella sicurezza locale, quindi i team addetti alla sicurezza devono assicurarsi di concentrarsi sullo sviluppo di familiarità con questi protocolli e log.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

Microsoft fornisce risorse estese per aiutare i professionisti tecnici a garantire la sicurezza delle risorse di Azure e la conformità dei report:Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

Vedere anche il benchmark di sicurezza di Azure GS-3: allineare i ruoli aziendali, le responsabilità e responsabilitàAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. processo: assegnare la responsabilità per le decisioni sulla sicurezza del cloud3. Process: Assign accountability for cloud security decisions

Se nessuno è responsabile di prendere decisioni di sicurezza, non verrà eseguito.If nobody is accountable for making security decisions, they won’t get made.

Cosa: designare chi è responsabile di prendere ogni tipo di decisione di sicurezza per l'ambiente Azure aziendale.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Perché: la cancellazione della proprietà delle decisioni di sicurezza accelera l'adozione del cloud e aumenta la sicurezza.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. La mancanza di genere crea attrito, perché nessuno è autorizzato a prendere decisioni, nessuno sa chi chiedere una decisione e nessuno è incaricato di ricercare una decisione ben aggiornata.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incented to research a well-informed decision. Questo attrito spesso ostacola gli obiettivi aziendali, le tempistiche degli sviluppatori, gli obiettivi IT e le garanzie di sicurezza, ottenendo:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Progetti bloccati in attesa di approvazione della sicurezzaStalled projects that are waiting for security approval
  • Distribuzioni non sicure che non possono attendere l'approvazione della sicurezzaInsecure deployments that couldn’t wait for security approval

Chi: la leadership di sicurezza designa quali team o individui sono responsabili per prendere decisioni relative alla sicurezza sul cloud.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Procedura: designare gruppi (o singoli) che saranno responsabili di prendere decisioni di sicurezza chiave.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Documentare questi proprietari, le informazioni di contatto e socializzare questo insieme nei team di sicurezza, IT e cloud per assicurarsi che sia facile per tutti i ruoli contattarli.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Queste sono le aree tipiche in cui sono necessarie le decisioni relative alla sicurezza, le descrizioni e i team che in genere prendono le decisioni.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

DecisioneDecision DescrizioneDescription Team tipicoTypical Team
Sicurezza di reteNetwork Security Configurazione e manutenzione del firewall di Azure, delle appliance virtuali di rete (e del routing associato), WAFs, gruppi, gruppi e così via.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. In genere il team di sicurezza dell'infrastruttura e degli endpoint si concentra sulla sicurezza della reteTypically Infrastructure and endpoint security team focused on network security
Gestione della reteNetwork Management Rete virtuale a livello aziendale e allocazione di subnetEnterprise-wide virtual network and subnet allocation Team operativo di rete in genere esistente nelle operazioni IT centraliTypically existing network operations team in Central IT Operations
Sicurezza endpoint serverServer Endpoint Security Monitorare e correggere la sicurezza del server (applicazione di patch, configurazione, sicurezza degli endpoint e così via)Monitor and remediate server security (patching, configuration, endpoint security, etc.) In genere, le operazioni IT centrali e i team dell' infrastruttura e della sicurezza degli endpoint congiuntamenteTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Monitoraggio e risposta agli eventi imprevistiIncident Monitoring and Response Esaminare e correggere gli eventi imprevisti di sicurezza in SIEM o nella console di origine (Centro sicurezza di Azure, Azure AD Identity Protection e così via)Investigate and remediate security incidents in SIEM or source console ( Azure Security Center, Azure AD Identity Protection, etc.) In genere il team delle operazioni di sicurezzaTypically security operations team
Gestione dei criteriPolicy Management Impostare la direzione per l'uso del controllo degli accessi in base al ruolo, il Centro sicurezza di Azure, la strategia di protezione dell'amministratore e i criteri di Azure per gestire le risorse di AzureSet direction for use of Roles Based Access Control (RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources In genere , criteri e standard + architettura di sicurezza teamTypically Policy and Standards + Security Architecture Teams jointly
Sicurezza e standard di identitàIdentity Security and Standards Impostazione della direzione per le directory di Azure AD, utilizzo di PIM/PAM, autenticazione a più fattori, configurazione di password/sincronizzazione, standard di identità delle applicazioniSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards In genere i criteri di gestione delle identità e delle chiavi + ei team dell' + architettura di sicurezza standardTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Nota

  • Assicurarsi che i decision maker abbiano la formazione appropriata nella propria area del cloud per accompagnare questa responsabilità.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Assicurarsi che le decisioni siano documentate in criteri e standard per fornire un record e guidare l'organizzazione a lungo termine.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

Vedere anche il benchmark di sicurezza di Azure GS-3: allineare i ruoli aziendali, le responsabilità e responsabilitàAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. processo: aggiornare i processi di risposta agli eventi imprevisti per il cloud4. Process: Update Incident Response (IR) processes for cloud

Non si ha tempo di pianificare una crisi durante una crisi.You don’t have time to plan for a crisis during a crisis.

Cosa: aggiornare i processi e preparare gli analisti a per rispondere agli eventi imprevisti della sicurezza sulla piattaforma cloud di Azure, inclusi gli strumenti di rilevamento delle minacce nativi adottati.What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Aggiorna i processi, prepara il team e fai pratica con gli attacchi simulati in modo che possano eseguire al meglio durante l'analisi degli eventi imprevisti, la correzione e la ricerca di minacce.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Perché: gli utenti malintenzionati attivi presentano un rischio immediato per l'organizzazione che può diventare rapidamente una situazione difficile da controllare, quindi è necessario rispondere rapidamente agli attacchi.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Questo processo di risposta agli eventi imprevisti (IR) deve essere efficace per l'intero patrimonio, incluse tutte le piattaforme cloud che ospitano dati, sistemi e account aziendali.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Sebbene simili in molti modi, le piattaforme cloud hanno un'importante differenza tecnica rispetto ai sistemi locali che possono suddividere i processi esistenti, in genere perché le informazioni sono disponibili in un formato diverso.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Gli analisti della sicurezza possono anche avere problemi a rispondere rapidamente a un ambiente non noto in grado di rallentarli, soprattutto se vengono sottoposti a training solo in architetture locali classiche e approcci di analisi di rete/disco.Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Chi: la modernizzazione dei processi IR è in genere condotta da operazioni di sicurezza con supporto da altri gruppi per conoscenza e competenze.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Sponsorizzazione : questa modernizzazione dei processi è in genere sponsorizzata da Security Operations Director o da un gruppo equivalente.Sponsorship - This process modernization is typically sponsored by the Security Operations director or equivalent.
  • L'esecuzione: l' adattamento dei processi esistenti (o la scrittura per la prima volta) è un'attività collaborativa che coinvolgeExecution - Adapting existing processes (or writing them for the first time) is a collaborative effort involving
    • Team di gestione degli eventi imprevisti di sicurezza o leadership: conduce gli aggiornamenti al processo e all'integrazione delle principali parti interessate esterne, inclusi i team legali e di comunicazione/relazioni pubblicheSecurity Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Analisti di sicurezza per le operazioni di sicurezza : offrono competenze su analisi e valutazione degli eventi imprevisti tecniciSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • Operazioni IT centrali : fornisce le competenze per la piattaforma cloud (direttamente, tramite cloud Center of Excellence o tramite consulenti esterni)Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Procedura: aggiornare i processi e preparare il team in modo che sappiano cosa fare quando trovano un utente malintenzionato attivo.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Processi e PlayBook: adattare le indagini esistenti, la correzione e i processi di ricerca di minacce alle differenze di funzionamento delle piattaforme cloud (strumenti nuovi/diversi, origini dati, protocolli di identità e così via).Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Formazione: istruire gli analisti sulla trasformazione cloud complessiva, i dettagli tecnici sul funzionamento della piattaforma e i processi nuovi/aggiornati, in modo da sapere quali saranno i diversi elementi e dove andare per le attività necessarie.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

_ Aree di interesse principali:_ Sebbene ci siano molti dettagli descritti nei collegamenti alle risorse, si tratta di aree chiave per concentrarsi sulle attività di formazione e pianificazione:Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Modello di responsabilità condivisa e architetture cloud: per un analista della sicurezza, Azure è un data center definito da software che fornisce molti servizi, tra cui VM (familiari) e altri, molto diversi dall'ambiente locale, ad esempio funzioni di SQL Azure di Azure e così via, in cui i dati migliori si trovano nei log del servizio o nei servizi di rilevamento delle minacce specializzati anziché nei log del sistema operativo/VM sottostanti (gestiti da Microsoft eShared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Gli analisti devono comprendere e integrare questo contesto nei propri flussi di lavoro giornalieri in modo da conoscere i dati da prevedere, dove ottenere il formato e il formato in cui si troverà.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Origini dati dell'endpoint: ottenere informazioni e dati per gli attacchi e i malware nei server ospitati nel cloud è spesso più veloce, semplice e accurato con strumenti di rilevamento cloud nativi come il Centro sicurezza di Azure e i sistemi EDR, invece degli approcci tradizionali di accesso diretto al disco.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Sebbene le analisi del disco diretto siano disponibili per gli scenari in cui è possibile ed è necessario per le procedure legali (computer forensi in Azure), questo è spesso il modo più efficiente per rilevare e analizzare gli attacchi.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Origini dati di rete e di identità: molte funzioni delle piattaforme cloud usano principalmente l'identità principalmente per il controllo di accesso, ad esempio l'accesso alla portale di Azure (anche se i controlli di accesso alla rete vengono usati anche in modo estensivo).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). Questa operazione richiede agli analisti di sviluppare una comprensione dei protocolli di identità cloud per ottenere un'immagine completa, completa, dell'attività dell'utente malintenzionato (e dell'attività utente legittima) per supportare l'analisi e il monitoraggio degli eventi imprevisti.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Anche le directory di identità e i protocolli sono diversi dall'ambiente locale, in quanto si basano in genere su directory SAML, OAuth e OIDC e cloud invece che su LDAP, Kerberos, NTLM e Active Directory comunemente reperibili in locale.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Esercitazioni pratiche: gli attacchi simulati e la risposta possono aiutare a compilare la memoria muscolare aziendale e la preparazione tecnica per gli analisti della sicurezza, i cacciatori di minacce, i responsabili degli eventi imprevisti e altre parti interessate della propria organizzazione.Practice exercises: simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. L'apprendimento sul lavoro e l'adattamento è una parte naturale della risposta agli eventi imprevisti, ma è consigliabile lavorare per ridurre al minimo la quantità di informazioni da apprendere in una crisi.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Risorse principali:Key Resources:

Vedere anche il benchmark di sicurezza di Azure IR-1: preparazione-aggiornare il processo di risposta agli eventi imprevisti per Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. processo: definire la gestione del comportamento della sicurezza5. Process: Establish security posture management

Prima di tutto, è importante conoscersi.First, know thyself.

Cosa: assicurarsi di gestire attivamente il comportamento di sicurezza dell'ambiente Azure tramite:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Assegnazione di una chiara proprietà delle responsabilità diAssigning clear ownership of responsibilities for
    • Monitoraggio del comportamento della sicurezzaMonitoring security posture
    • Attenuazione dei rischi per gli assetMitigating risks to assets
  • Automazione e semplificazione di queste attivitàAutomating and simplifying these tasks

Perché: identificare e correggere rapidamente i rischi di igiene di sicurezza comuni riduce significativamente il rischio dell'organizzazione.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

La natura software definita dei data center cloud consente il monitoraggio continuo dei rischi per la sicurezza (vulnerabilità del software, configurazioni di sicurezza e così via) con una vasta strumentazione di asset.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. La velocità con cui gli sviluppatori e i team IT possono distribuire VM, database e altre risorse creano anche la necessità di garantire che le risorse siano configurate in modo sicuro e monitorato attivamente.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Queste nuove funzionalità offrono nuove possibilità, ma la realizzazione di valore da esse richiede l'assegnazione di responsabilità per l'utilizzo.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. L'esecuzione coerente con le operazioni cloud in rapida evoluzione richiede anche l'esecuzione di processi umani il più semplice e automatizzato possibile.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. Vedere il principio di sicurezza"unità di semplicità".See the “Drive Simplicity” security principle.

Nota

L'obiettivo della semplificazione e dell'automazione non è quello di eliminare i processi, ma di rimuovere il carico delle attività ripetitive da parte degli utenti, in modo da potersi concentrare su attività umane di valore più elevato, come coinvolgere e istruire i team IT e DevOps.The goal of simplification and automation isn’t about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Chi: questo è in genere suddiviso in due set di responsabilità:Who: This is typically divided into two sets of responsibilities:

  • Gestione delle attitudini per la sicurezza: questa funzione più recente è spesso un'evoluzione delle funzioni di governance o gestione delle vulnerabilità esistenti.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. Questo include il monitoraggio del comportamento della sicurezza globale usando il Punteggio sicuro del Centro sicurezza di Azure e altre origini dati, lavorando attivamente con i proprietari delle risorse per attenuare i rischi e segnalando i rischi per la leadership di sicurezza.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Monitoraggio e aggiornamento della sicurezza: assegnare la responsabilità per affrontare questi rischi ai team responsabili della gestione di tali risorse.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. Questo deve essere il team DevOps che gestisce le proprie risorse dell'applicazione o i team specifici della tecnologia nelle operazioni IT centrali:This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Risorse di calcolo e app:Compute and Apps Resources:
      • Servizi app -team di sviluppo/sicurezza delle applicazioniApp Services - Application Development/Security Team(s)
      • Contenitori : sviluppo di applicazioni e/o infrastruttura/operazioni itContainers - Application Development and/or Infrastructure/IT Operations
      • Macchine virtuali/set di scalabilità/ operazioni di calcolo/it/infrastrutturaVMs/Scale sets/compute - IT/Infrastructure Operations
    • Risorse di archiviazione & dati:Data & Storage Resources:
      • Team SQL/Redis/data Lake Analytics/Data Lake Store -databaseSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Account di archiviazione -team di archiviazione/infrastrutturaStorage Accounts - Storage/Infrastructure Team
    • Risorse di identità e accesso:Identity and Access Resources:
      • Sottoscrizioni -team di identitàSubscriptions - Identity Team(s)
      • Key Vault : identità o informazioni/team di sicurezza dei datiKey Vault – Identity or Information/Data Security Team
    • Risorse di rete-team di sicurezza di reteNetworking Resources - Network Security Team
    • Team delle operazioni di sicurezza di Internet delle coseIoT Security - IoT Operations Team

Come: la sicurezza è il lavoro di tutti, ma non tutti sanno quanto sia importante, cosa fare e come farlo.How: Security is everyone’s job, but not everyone currently knows how important it is, what to do, and how to do it.

  • I proprietari delle risorse possono tenere conto dei rischi per la sicurezza, così come sono considerati responsabili di disponibilità, prestazioni, costi e altri fattori di successo.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Supportare i proprietari delle risorse con una chiara comprensione del motivo per cui il rischio per la sicurezza è importante per le proprie risorse, cosa dovrebbero fare per attenuare i rischi e come implementarlo con una perdita di produttività minima.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Importante

Le spiegazioni per spiegare perché, cosa e come proteggere le risorse sono spesso simili tra diversi tipi di risorse e applicazioni, ma è fondamentale correlarle a ciò che ogni team conosce già e si occupa.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. I team addetti alla sicurezza devono interagire con le controparti IT e DevOps come consulente attendibile e partner che si concentrano sull'abilitazione di questi team per l'esito positivo.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Strumenti: il Punteggio sicuro nel centro sicurezza di Azure offre una valutazione delle informazioni di sicurezza più importanti in Azure per un'ampia gamma di asset.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Questo è il punto di partenza per la gestione della postura e può essere integrato con criteri personalizzati di Azure e altri meccanismi in base alle esigenze.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frequenza: impostare una cadenza regolare (in genere mensile) per esaminare il Punteggio sicuro di Azure e pianificare le iniziative con obiettivi di miglioramento specifici.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. La frequenza può essere aumentata in base alle esigenze.The frequency can be increased as needed.

Suggerimento

Gamify l'attività, se possibile, per aumentare il coinvolgimento, ad esempio creare concorsi e premi per i team DevOps che migliorano il punteggio.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

Vedere anche il benchmark di sicurezza di Azure GS-2: definire la strategia di gestione delle posture di sicurezza.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. tecnologia: Richiedi password o Multi-Factor Authentication (autenticazione a più fattori)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

Si è disposti a scommettere sulla sicurezza dell'azienda che gli utenti malintenzionati professionali non possono indovinare o rubare la password dell'amministratore?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

Cosa: richiedere a tutti gli amministratori con conseguenze critiche di usare l'autenticazione a più fattori o la password.What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Perché: così come le "chiavi di scheletro" antiche non proteggono una casa contro un ladro di giorno moderno, le password non possono proteggere gli account dagli attacchi comuni che si vedono oggi.Why: Just as antique ‘skeleton keys' won’t protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. I dettagli tecnici sono descritti nella pagina PA $ $Word non è rilevante.Technical details are described in Your Pa$$word doesn't matter.

Anche se l'autenticazione a più fattori è una volta un ulteriore passo avanti, gli approcci senza password migliorano l'esperienza di accesso usando approcci biometrici come il riconoscimento facciale nei dispositivi Windows Hello e mobile (in cui non è necessario ricordare o digitare una password).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don’t have to remember or type a password). Inoltre, gli approcci di attendibilità zero ricordano i dispositivi attendibili, che riducono la richiesta di azioni di autenticazione a più fattori fuori banda (vedere frequenza di accesso utente).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Chi: la password e l'iniziativa a più fattori sono in genere gestite da gestione delle identità e delle chiavi e/o dall' architettura della sicurezza.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Procedura: implementare l'autenticazione con autenticazione a più fattori o password, eseguire il training degli amministratori su come usarla (se necessario) e richiedere agli amministratori di seguire i criteri scritti.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. Questa operazione può essere eseguita da una o più di queste tecnologie:This can be accomplished by one or more of these technologies:

Nota

L'autenticazione a più fattori basata su SMS è ora relativamente economica per gli utenti malintenzionati da ignorare, quindi è importante concentrarsi su & multi-factor authentication.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

Vedere anche l' ID benchmark di sicurezza di Azure-4: usare i controlli di autenticazione avanzata per tutti gli accessi basati su Azure Active Directory.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. tecnologia: integrare firewall nativo e sicurezza di rete7. Technology: Integrate native firewall and network security

Semplifica la protezione dei sistemi e dei dati dagli attacchi di rete.Simplify protection of systems and data against network attacks.

Cosa: semplificare la strategia di sicurezza di rete e la manutenzione integrando il firewall di Azure, il firewall di app Web di Azure (WAF) e le mitigazioni di Denial of Service (DDoS) distribuite nell'approccio di sicurezza della rete.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Perchéla semplicità è essenziale per la sicurezza, in quanto riduce la probabilità di rischio da confusione, errori di configurazione e altri errori umani.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. Vedere il principio di sicurezza"unità di semplicità".See the “Drive Simplicity” security principle.

I firewall e WAFs sono importanti controlli di sicurezza di base per proteggere le applicazioni da traffico dannoso, ma la loro configurazione e manutenzione può essere complessa e utilizzare una quantità significativa di tempo e attenzione del team di sicurezza (simile all'aggiunta di parti di aftermarket personalizzate a un'auto).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team’s time and attention (similar to adding custom aftermarket parts to a car). Le funzionalità native di Azure possono semplificare l'implementazione e il funzionamento di firewall, Web Application Firewall, mitigazioni di tipo Denial of Service (DDoS) distribuite e altro ancora.Azure’s native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Questo consente di liberare il tempo e l'attenzione del team per attività di sicurezza più elevate, ad esempio la valutazione della sicurezza dei servizi di Azure, l'automazione delle operazioni di sicurezza e l'integrazione della sicurezza con applicazioni e soluzioni IT.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Chi:Who:

  • Sponsorizzazione: questo aggiornamento della strategia di sicurezza di rete è in genere sponsorizzato dalla leadership di sicurezza e/o dalla leadership itSponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership
  • Esecuzione: l'integrazione di questi nella strategia di sicurezza della rete cloud è un'attività collaborativa che coinvolgeExecution: Integrating these into your cloud network security strategy is a collaborative effort involving
    • Architettura della sicurezza : definire l'architettura di sicurezza di rete cloud con i lead di sicurezza di rete cloud e cloud.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Lead di rete cloud (operazioni IT centrali) + lead di sicurezza di rete cloud (team di sicurezza dell'infrastruttura)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Definire l'architettura di sicurezza di rete cloud con architetti della sicurezzaEstablish cloud network security architecture with security architects
      • Configurare le funzionalità firewall, NSG e WAF e usare gli architetti di applicazioni in regole WAFConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Architetti di applicazioni: collaborare alla sicurezza di rete per compilare e perfezionare i RuleSet WAF e le configurazioni DDoS per proteggere l'applicazione senza compromettere la disponibilitàApplication architects: work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Come: le organizzazioni che desiderano semplificare le proprie operazioni hanno due opzioni:How: Organizations looking to simplify their operations have two options:

  • Estendi le funzionalità e le architetture esistenti: molte organizzazioni spesso scelgono di estendere l'uso delle funzionalità del firewall esistenti, in modo da poter sfruttare gli investimenti esistenti in competenze e integrazione dei processi, in particolare quando adottano prima il cloud.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Adottare i controlli di sicurezza nativi: sempre più organizzazioni iniziano a preferire l'uso di controlli nativi per evitare la complessità dell'integrazione delle funzionalità di terze parti.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Queste organizzazioni cercano in genere di evitare il rischio di una configurazione errata del bilanciamento del carico, delle route definite dall'utente, del firewall/WAF stesso e dei ritardi in handoff tra diversi team tecnici.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Questa opzione è particolarmente interessante per le organizzazioni che adottano l'infrastruttura come approcci di codice, in quanto possono automatizzare e instrumentare le funzionalità predefinite più facilmente delle funzionalità di terze parti.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

La documentazione sulle funzionalità di sicurezza di rete native di Azure è disponibile all'indirizzo:Documentation on Azure native network security capabilities can be found at:

Azure Marketplace include molti provider di firewall di terze parti.Azure Marketplace includes many third-party firewall providers.

Vedere anche il benchmark di sicurezza di Azure NS-4: proteggere le applicazioni e i servizi da attacchi alla rete esterna.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. tecnologia: integrazione del rilevamento delle minacce nativo8. Technology: Integrate native threat detection

Semplifica il rilevamento e la risposta degli attacchi contro i dati e i sistemi di Azure.Simplify detection and response of attacks against Azure systems and data.

Cosa: semplificare la strategia di rilevamento e risposta delle minacce incorporando funzionalità di rilevamento delle minacce native nelle operazioni di sicurezza e Siem.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Motivo: lo scopo delle operazioni di sicurezza consiste nel ridurre l'impatto di utenti malintenzionati attivi che accedono all'ambiente, come misurato dal tempo medio per confermare (mtta) e correggere (MTTR) gli eventi imprevisti.Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. Questa operazione richiede l'accuratezza e la velocità in tutti gli elementi della risposta agli eventi imprevisti, quindi la qualità degli strumenti e l'efficienza dell'esecuzione del processo sono fondamentali.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

È difficile ottenere rilevamento di minacce elevate usando gli strumenti e gli approcci esistenti progettati per il rilevamento delle minacce in locale a causa delle differenze nella tecnologia cloud e del suo ritmo rapido di modifiche.It’s difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. I rilevamenti integrati in modo nativo forniscono soluzioni di scalabilità industriale gestite dai provider di servizi cloud in grado di soddisfare le attuali minacce e le modifiche alla piattaforma cloud.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Queste soluzioni native consentono inoltre ai team delle operazioni di sicurezza di concentrarsi sull'analisi degli eventi imprevisti e sulla correzione anziché sprecare tempo nel tentativo di creare avvisi da dati di log non noti, integrando strumenti e attività di manutenzione.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Chi: questo viene in genere gestito dal team delle operazioni di sicurezza .Who: This is typically driven by the Security Operations team.

  • Sponsorizzazione : questa operazione viene in genere sponsorizzata da Security Operations Director (o equivalente).Sponsorship - This is typically sponsored by the Security Operations Director (or equivalent)..
  • Esecuzione: l' integrazione del rilevamento delle minacce nativo è un'attività collaborativa che riguarda le operazioni seguenti:Execution – Integrating native threat detection is a collaborative effort involving those with:
    • Operazioni di sicurezza: integra gli avvisi in Siem e nei processi di analisi degli eventi imprevisti, istruisce gli analisti sugli avvisi cloud e su cosa significa e come usare gli strumenti cloud nativi.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Preparazione agli eventi imprevisti: integrare gli eventi imprevisti nel cloud in esercitazioni pratiche e assicurarsi che vengano eseguiti esercizi di esercitazione per favorire la preparazione del team.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Intelligence per le minacce: ricerca e integrazione delle informazioni sugli attacchi cloud per informare i team con contesto e intelligenza.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Architettura della sicurezza: integrare gli strumenti nativi nella documentazione sull'architettura della sicurezza.Security Architecture: Integrate native tooling into security architecture documentation.
    • Criteri e standard: impostare gli standard e i criteri per abilitare gli strumenti nativi nell'intera organizzazione.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Monitorare la conformità.Monitor for compliance.
    • Infrastruttura ed endpoint / Operazioni IT centrali: configurare e abilitare i rilevamenti, integrarsi nell'automazione e nell'infrastruttura come soluzioni di codice.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Procedura: abilitare il rilevamento delle minacce nel centro sicurezza di Azure per tutte le risorse in uso e consentire a ogni team di integrarle nei processi come descritto in precedenza.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

Vedere anche il benchmark di sicurezza di Azure lt-1: abilitare il rilevamento delle minacce per le risorse di Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. architettura: standardizzazione in una singola directory e identità9. Architecture: Standardize on a single directory and identity

Nessuno desidera gestire più identità e directory.Nobody wants to deal with multiple identities and directories.

Cosa: standardizzare in un'unica directory di Azure ad e una singola identità per ogni applicazione e utente in Azure (per tutte le funzioni di identità aziendali).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Nota

Questa procedura consigliata si riferisce in modo specifico alle risorse aziendali.This best practice refers specifically to enterprise resources. Per gli account partner, usare Azure ad B2B , in modo da non dover creare e gestire gli account nella directory.For partner accounts, use Azure AD B2B so you don’t have to create and maintain accounts in your directory. Per gli account cliente/cittadino, usare Azure ad B2C per gestirli.For customer/citizen accounts, use Azure AD B2C to manage them.

Perché: più account e directory di identità creano attriti e confusione superflui nei flussi di lavoro giornalieri per utenti di produttività, sviluppatori, it e amministratori di identità, analisti della sicurezza e altri ruoli.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

La gestione di più account e directory crea anche un incentivo per procedure di sicurezza insufficienti, ad esempio il riutilizzo della stessa password tra gli account e aumenta la probabilità di account obsoleti/abbandonati che possono essere destinati agli utenti malintenzionati.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

Anche se a volte sembra più semplice creare rapidamente una directory personalizzata (basata su LDAP e così via) per un'applicazione o un carico di lavoro specifico, questo crea molto più lavoro di integrazione e manutenzione per la configurazione e la gestione.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. Questa operazione è simile in molti modi alla decisione di configurare un tenant di Azure aggiuntivo o una foresta Active Directory locale aggiuntiva rispetto a quella esistente.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. Vedere anche il principio di sicurezza"unità di semplicità".See also the “Drive Simplicity” security principle.

Chi: si tratta spesso di un'attività tra i team basata sull' architettura di sicurezza o sui team di gestione di identità e chiavi .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Comeadottare un approccio pragmatico che inizia con nuove funzionalità "Greenfield" (in continua crescita) e quindi pulire le richieste con il "Brownfield" di applicazioni e servizi esistenti come esercizio di completamento:How: Adopt a pragmatic approach that starts with new ‘greenfield’ capabilities (growing today) and then clean up challenges with the ‘brownfield’ of existing applications and services as a follow-up exercise:

  • Greenfield: definire e implementare un criterio chiaro che ogni identità aziendale in futuro deve usare una singola directory di Azure ad con un singolo account per ogni utente.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Brownfield: molte organizzazioni hanno spesso più directory legacy e sistemi di identità.Brownfield: Many organizations often have multiple legacy directories and identity systems. Risolvere questi problemi quando il costo di un attrito di gestione continuo supera l'investimento per la pulizia.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Sebbene le soluzioni di gestione delle identità e di sincronizzazione possano attenuare alcuni di questi problemi, non hanno una profonda integrazione delle funzionalità di sicurezza e produttività che consentono un'esperienza uniforme per utenti, amministratori e sviluppatori.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

Il momento ideale per consolidare l'utilizzo dell'identità è durante i cicli di sviluppo delle applicazioni, come:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Modernizzare le applicazioni per il cloudModernize applications for the cloud
  • Aggiornare le applicazioni cloud con processi DevOpsUpdate cloud applications with DevOps processes

Sebbene esistano motivi validi per una directory separata nel caso di business unit o requisiti normativi estremamente indipendenti, è consigliabile evitare più directory in tutte le altre circostanze.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

Vedere anche l'ID benchmark di sicurezza di Azure -1: standardizzare Azure Active Directory come sistema di autenticazione e identità centrale.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Importante

L'unica eccezione alla regola dei singoli account è che gli utenti con privilegi, inclusi gli amministratori IT e gli analisti della sicurezza, devono disporre di account distinti per le attività utente standard e le attività amministrative.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Per altre informazioni, vedere accesso con privilegidi benchmark di sicurezza di Azure.For more information, see Azure Security Benchmark Privileged Access.

10. architettura: usare il controllo di accesso basato su identità (anziché le chiavi)10. Architecture: Use identity based access control (instead of keys)

Cosa: usare Azure ad identità anziché l'autenticazione basata su chiave laddove possibile (servizi di Azure, applicazioni, API e così via).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Perchél'autenticazione basata su chiave può essere usata per eseguire l'autenticazione a servizi cloud e API, ma richiede la gestione delle chiavi in modo sicuro, il che è difficile da eseguire correttamente (soprattutto in scala).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). La gestione sicura delle chiavi è difficile per le processioni non di sicurezza, come sviluppatori e professionisti dell'infrastruttura, e spesso non riescono a farlo in modo sicuro, creando spesso rischi di sicurezza più importanti per l'organizzazione.Secure key management is difficult for non-security processionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

L'autenticazione basata sull'identità è molto più di questi problemi grazie a funzionalità avanzate per la rotazione dei segreti, la gestione del ciclo di vita, la delega amministrativa e altro ancora.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Chi: si tratta spesso di un'attività tra i team basata sull' architettura di sicurezza o sui team di gestione di identità e chiavi .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Comeimpostare una preferenza organizzativa e un'abitudine per l'uso dell'autenticazione basata su identità, è necessario seguire un processo e abilitare la tecnologia.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

Il processo esegue le operazioni seguenti:The process:

  1. Definire criteri e standard che delineano chiaramente l'autenticazione predefinita basata sull'identità, nonché eccezioni accettabili.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Educare gli sviluppatori & ai team dell'infrastruttura il motivo per cui usare il nuovo approccio, le operazioni da eseguire e il modo in cui eseguire questa operazione.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Implementare le modifiche in modo pragmatico, a partire dalle nuove funzionalità' Greenfield ' apportate ora e in futuro (nuovi servizi di Azure, nuove applicazioni) e quindi seguendo una pulizia delle configurazioni ' Brownfield ' esistenti.Implement changes in a pragmatic way – starting with new ‘greenfield’ capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing ‘brownfield’ configurations.
  4. Monitora la conformità e segui i team di sviluppo e di infrastruttura per correggere.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

Tecnologie: Per gli account non umani, ad esempio servizi o automazione, usare identità gestite.The technologies: For non-human accounts such as services or automation, use Managed identities. Le identità gestite di Azure possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione Azure AD.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. L'autenticazione viene abilitata tramite regole di concessione dell'accesso predefinite, evitando le credenziali hardcoded nel codice sorgente o nei file di configurazione.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

Per i servizi che non supportano le identità gestite, usare Azure AD per creare un' entità servizio con autorizzazioni limitate a livello di risorsa.For services that do not support managed identities, use Azure AD to create a Service principals with restricted permissions at the resource level instead. Si consiglia di configurare le entità servizio con le credenziali del certificato e di eseguire il fallback ai segreti client.We recommended configuring service principals with certificate credentials and fall back to client secrets. In entrambi i casi, è possibile usare Azure Key Vault insieme alle identità gestite di Azure, in modo che l'ambiente di runtime, ad esempio una funzione di Azure, possa recuperare le credenziali dall'insieme di credenziali delle chiavi.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

Vedere anche il benchmark di sicurezza di Azure ID-2: gestire le identità dell'applicazione in modo sicuro e automatico.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. architettura: definire una singola strategia di sicurezza unificata11. Architecture: Establish a single unified security strategy

Tutti gli utenti devono eseguire una riga nella stessa direzione per proseguire.Everyone needs to row in the same direction for the boat to go forward.

Cosa: assicurarsi che tutti i team siano allineati a una singola strategia che Abilita e protegge i sistemi e i dati aziendali.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Perché: quando i team lavorano in isolamento senza essere allineati a una strategia comune, le singole azioni possono inavvertitamente compromettere l'impegno degli altri, creando un attrito superfluo che rallenta lo stato di avanzamento rispetto agli obiettivi di tutti.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other’s efforts, creating unnecessary friction that slows down progress against everyone's goals.

Un esempio di ciò che si è svolto in modo coerente in molte organizzazioni è la segmentazione delle risorse:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • Il team di sicurezza di rete sviluppa una strategia per segmentare una "rete Flat" per aumentare la sicurezza (spesso in base a siti fisici, indirizzi IP o intervalli di indirizzi IP assegnati o simili)The network security team develops a strategy for segmenting a ‘flat network’ to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Separatamente, il team di identità ha sviluppato una strategia per gruppi e Active Directory unità organizzative (OU) in base alla loro comprensione e conoscenza dell'organizzazione.Separately, the identity team developed a strategy for groups and Active Directory Organizational Units (OUs) based on their understanding and knowledge of the organization.
  • I team di applicazioni spesso risultano difficili da usare con questi sistemi perché sono stati progettati con un input limitato e la comprensione di operazioni, obiettivi e rischi aziendali.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

Nelle organizzazioni in cui si verifica questo problema, i team riscontrano spesso conflitti rispetto alle eccezioni del firewall, che influiscono negativamente sulla sicurezza (le eccezioni vengono in genere approvate) e sulla produttività (la distribuzione è rallentata per le funzionalità dell'applicazione necessarie).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

Sebbene la sicurezza possa creare un attrito integro forzando il pensiero critico, questo conflitto crea solo attrito non integro che impedisce gli obiettivi.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Per ulteriori informazioni, vedere il livello corretto di attrito della sicurezza nelle linee guida della strategia di sicurezza.For more information, see The right level of security friction in the security strategy guidance.

Chi:Who:

  • Sponsorizzazione : la strategia unificata in genere co-sponsorizzata da cio, CISO e CTO (spesso con supporto per la leadership aziendale per alcuni elementi di alto livello) e sostenuta da rappresentanti di ogni team.Sponsorship - The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Esecuzione : la strategia di sicurezza deve essere implementata da chiunque, quindi deve integrare l'input da tutti i team per aumentare la proprietà, l'acquisto e la probabilità di successo.Execution – Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Architettura della sicurezza: consente di creare una strategia di sicurezza e un'architettura risultante, raccogliere attivamente commenti e suggerimenti dai team e documentarli in presentazioni, documenti e diagrammi per diversi destinatari.Security Architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Criteri e standard: acquisisce gli elementi appropriati in standard e criteri e quindi monitora la conformità.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Tutti i team tecnici IT e di sicurezza: forniscono i requisiti di input, quindi allineano e implementano la strategia aziendale.All Technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Proprietari e sviluppatori di applicazioni: leggere e comprendere la documentazione di strategia applicabile (idealmente, indicazioni personalizzate per il proprio ruolo).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Procedura:How:

Crea e implementa una strategia di sicurezza per il cloud che include l'input e la partecipazione attiva di tutti i team.Build and implement a security strategy for cloud that includes the input and active participation of all teams. Sebbene il formato della documentazione del processo possa variare, è necessario includere sempre:While the process documentation format will vary, this should always include:

  • Input attivo dai team: le strategie in genere hanno esito negativo se gli utenti dell'organizzazione non acquistano i dati.Active input from teams: Strategies typically fail if people in the organization don’t buy into them. Idealmente, è possibile fare in modo che tutti i team abbiano la stessa stanza a sviluppare la strategia in collaborazione.Ideally, get all teams in the same room to collaboratively build the strategy. Nei laboratori eseguiti con i clienti, spesso si trovano le organizzazioni che operano in un silo di fatto e queste riunioni spesso comportano la riunione reciproca per la prima volta.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Si ritiene inoltre che l'inclusione sia un requisito: se alcuni team non sono invitati, questa riunione in genere deve essere ripetuta fino a quando tutti i partecipanti non si aggiungono (o il progetto non si sposta in avanti).We also find that inclusiveness is a requirement - if some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn’t move forward).
  • Documentata e comunicata chiaramente: tutti i team devono conoscere la strategia di sicurezza (idealmente un componente di sicurezza della strategia di tecnologia complessiva), inclusi i motivi per integrare la sicurezza, ciò che è importante per la sicurezza e il successo della sicurezza.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. Questo deve includere linee guida specifiche per i team di sviluppo e applicazioni, in modo che possano ottenere una chiara guida in ordine di priorità senza dover leggere le parti non pertinenti delle linee guida.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Stabile, ma flessibile: le strategie devono rimanere relativamente coerenti e stabili, ma le architetture e la documentazione possono richiedere modifiche per aggiungere chiarezza e gestire la natura dinamica del cloud.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Ad esempio, l'applicazione di filtri al traffico esterno dannoso rimane coerente come imperativo strategico anche se si passa dall'uso di un firewall di nuova generazione di terze parti al firewall di Azure e si regolano i diagrammi e le linee guida su come eseguire questa operazione.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure firewall and adjust diagrams/guidance on how to do it.
  • Inizia con la segmentazione: nel corso dell'adozione del cloud, i team affronteranno molti argomenti di strategia di grandi dimensioni e piccoli, ma è necessario iniziare da qualche parte.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. È consigliabile iniziare la strategia di sicurezza con la segmentazione delle risorse aziendali, poiché si tratta di una decisione fondamentale che sarebbe difficile da modificare in seguito e richiederebbe sia l'input aziendale che molti team tecnici.We recommend starting the security strategy with enterprise asset segmentation as it’s a foundational decision that would be challenging to change later and requires both business input and many technical teams.

Microsoft ha pubblicato materiale sussidiario sull'applicazione di una strategia di segmentazione ad Azure in questo video e sui documenti relativi alla segmentazione aziendale e alla relativa allineatura alla sicurezza di rete.Microsoft has published guidance on applying a segmentation strategy to Azure in this video and documents on enterprise segmentation and aligning network security to it.

Il Framework di adozione del cloud include informazioni aggiuntive per aiutare i team a:The cloud adoption framework includes guidance to help your teams with:

Vedere anche la strategia e la governancedel benchmark di sicurezza di Azure.Also see the Azure Security Benchmark Governance and Strategy.