Condividi tramite


Baseline di sicurezza di Azure per Azure Cosmos DB

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Cosmos DB. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle linee guida correlate applicabili ad Azure Cosmos DB.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili ad Azure Cosmos DB sono state escluse. Per informazioni sul mapping completo di Azure Cosmos DB al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Azure Cosmos DB.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Cosmos DB, con conseguente aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Database
Il cliente può accedere a HOST/sistema operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Falso
Archivia i contenuti dei clienti inattivi Vero

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: distribuire il servizio in una rete virtuale. L'account Azure Cosmos DB verrà esposto alla rete virtuale tramite gli indirizzi IP pubblici.

Riferimento: Configurare l'accesso ad Azure Cosmos DB dalle reti virtuali

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato per stabilire un punto di accesso privato per le risorse.

Informazioni di riferimento: Configurare collegamento privato di Azure per un account Azure Cosmos

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL ip a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.

Informazioni di riferimento: Configurare il firewall IP in Azure Cosmos DB

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: l'autenticazione di Azure AD è supportata solo nell'API Core (SQL). Altre API supportano solo l'autenticazione basata su chiavi.

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Informazioni di riferimento: Configurare il controllo degli accessi in base al ruolo con Azure Active Directory per l'account Azure Cosmos DB

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Proteggere l'accesso ai dati in Azure Cosmos DB

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Gli account di database cosmos DB devono avere metodi di autenticazione locali disabilitati La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che gli account del database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Altre informazioni su: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, Disabled 1.1.0

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: l'autenticazione di Azure AD è supportata solo nell'API Core (SQL).

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Configurare le identità gestite con Azure Active Directory per l'account Azure Cosmos DB

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: l'autenticazione di Azure AD è supportata solo dall'API Core (SQL).

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Informazioni di riferimento: Configurare il controllo degli accessi in base al ruolo con Azure Active Directory per l'account Azure Cosmos DB

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: i criteri di accesso condizionale sono supportati in cui viene usata l'autenticazione di Azure AD. L'autenticazione di Azure AD è supportata solo nell'API Core (SQL).

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: Cosmos DB può usare chiavi primarie/secondarie (segreti condivisi) per controllare l'accesso ai dati. L'integrazione di questi segreti in Key Vault non è supportata direttamente da Cosmos DB, ma il codice client personalizzato che usa segreti condivisi può usare Key Vault se desiderato.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Informazioni di riferimento: Configurare il controllo degli accessi in base al ruolo con Azure Active Directory per l'account Azure Cosmos DB

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: Lockbox non può essere implementato in Azure Cosmos DB a causa della natura multi-tenant del servizio.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: La classificazione dei dati microsoft Purview supporta solo l'API Azure Cosmos DB Core (SQL).

Indicazioni sulla configurazione: usare Microsoft Purview per analizzare in modo centralizzato, classificare ed etichettare i dati sensibili che risiedono nell'account Azure Cosmos DB.

Informazioni di riferimento: Connettersi al database di Azure Cosmos (API SQL) in Microsoft Purview

DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili

Funzionalità

Prevenzione della perdita/perdita dei dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: usare Microsoft Defender per Azure Cosmos DB per rilevare i tentativi di esfiltrazione dei dati.

Informazioni di riferimento: Microsoft Defender per Azure Cosmos DB

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: Cosmos DB supporta la crittografia dei dati in transito con TLS v1.2 o versione successiva e non può essere disabilitata. Azure fornisce anche la crittografia per i dati in transito tra i data center di Azure.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Doppia crittografia

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Dati inattivi crittografia tramite chiavi della piattaforma

Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: i dati archiviati nell'account Azure Cosmos DB vengono crittografati automaticamente e facilmente crittografati con chiavi gestite da Microsoft (chiavi gestite dal servizio).

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Crittografia dei dati in Azure Cosmos DB

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattiva tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

Riferimento: Configurare le chiavi gestite dal cliente per l'account Azure Cosmos con Azure Key Vault

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/cosmosdb-cmk. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Informazioni di riferimento: Configurare le chiavi gestite dal cliente per l'account Azure Cosmos DB con Azure Key Vault

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Criteri di Azure definizioni di criteri predefinite - Cosmos DB

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per Azure Cosmos DB per rilevare automaticamente più minacce per la sicurezza.

Informazioni di riferimento: Microsoft Defender per Azure Cosmos DB

LT-4: abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Azure Cosmos DB consente di monitorare l'attività tramite Monitoraggio di Azure o log di diagnostica personalizzati che possono essere analizzati con Azure Log Analytics.

Riferimento: Monitorare Azure Cosmos DB

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Backup online e ripristino dei dati su richiesta in Azure Cosmos DB

Passaggi successivi