Impostare i criteri di sicurezza nel Centro sicurezza di Azure

Questo documento consente di configurare i criteri di sicurezza nel Centro sicurezza mostrando i passaggi necessari per eseguire questa attività.

Nota

A partire dall'inizio di giugno 2017, il Centro sicurezza usa Microsoft Monitoring Agent per raccogliere e archiviare i dati. Per altre informazioni, vedere Migrazione della piattaforma del Centro sicurezza di Azure. Le informazioni contenute in questo articolo si riferiscono alle funzionalità del Centro sicurezza dopo la transizione a Microsoft Monitoring Agent.

Informazioni sui criteri di sicurezza

I criteri di sicurezza definiscono il set di controlli consigliati per le risorse all'interno della sottoscrizione specificata. Nel Centro sicurezza è possibile definire i criteri per le sottoscrizioni di Azure in base alle esigenze di sicurezza della società e al tipo di applicazioni o al livello di riservatezza dei dati di ogni sottoscrizione.

Ad esempio, le risorse usate per lo sviluppo o il test possono avere requisiti di sicurezza diversi da quelli delle risorse usate per le applicazioni di produzione. In modo analogo, le applicazioni che usano dati regolamentati come le informazioni personali possono richiedere un maggiore livello di sicurezza. I criteri di protezione abilitati nel Centro sicurezza di Azure determinano i suggerimenti per la sicurezza e il monitoraggio per identificare le potenziali vulnerabilità e attenuare le minacce. Per altre informazioni su come determinare l'opzione più appropriata, vedere Guida alla pianificazione e alla gestione del Centro sicurezza di Azure .

Impostare i criteri di sicurezza

È possibile configurare criteri di sicurezza per ogni sottoscrizione. Per modificare i criteri di sicurezza, è necessario essere proprietario o collaboratore di tale sottoscrizione. Accedere al portale di Azure e seguire questa procedura per configurare i criteri di sicurezza nel Centro sicurezza di Azure:

  1. Fare clic sul riquadro Criteri nel dashboard del Centro sicurezza.
  2. Nel pannello Criteri di sicurezza che viene visualizzato selezionare la sottoscrizione in cui abilitare i criteri di sicurezza.

    Definizione dei criteri

  3. Il pannello Criteri di sicurezza per la sottoscrizione selezionata viene aperto con un set di opzioni. Le opzioni disponibili in questo pannello sono:

    • Criteri di prevenzione: usare questa opzione per configurare criteri per ogni sottoscrizione.
    • Notifica di posta elettronica: usare questa opzione per configurare una notifica di posta elettronica che viene inviata alla prima occorrenza giornaliera di un avviso e per gli avvisi di elevata gravità. Le preferenze di posta elettronica possono essere configurate solo per i criteri della sottoscrizione. Per altre informazioni su come configurare una notifica di posta elettronica, vedere Specificare i dettagli dei contatti di sicurezza nel Centro sicurezza di Azure .
    • Piano tariffario: usare questa opzione per aggiornare il piano tariffario selezionato. Per altre informazioni sui prezzi, vedere Centro sicurezza Prezzi.
  4. Verificare che l'opzione Raccogli dati dalle macchine virtuali sia . Questa opzione abilita la raccolta automatica dei log per le risorse nuove ed esistenti tramite Microsoft Monitoring Agent, lo stesso agente usato da Operations Management Suite e dal servizio Log Analytics. I dati raccolti dall'agente vengono archiviati in una o più aree di lavoro di Log Analytics esistenti associate alla sottoscrizione di Azure o in una o più aree di lavoro nuove, a seconda dell'area geografica della macchina virtuale.

  5. Nel pannello Criteri di sicurezza fare clic su Criteri di prevenzione per visualizzare le opzioni disponibili. Fare clic su per abilitare le raccomandazioni sulla sicurezza da usare per la sottoscrizione.

    Selezione dei criteri di sicurezza

Usare la tabella seguente come riferimento per comprendere ogni opzione:

Criteri Quando lo stato è Sì
Aggiornamenti del sistema Recupera un elenco giornaliero degli aggiornamenti della sicurezza e critici da Windows Update o da Windows Server Update Services. L'elenco recuperato dipende dal servizio configurato per tale macchina virtuale e consiglia di applicare gli aggiornamenti mancanti. Per i sistemi Linux, il criterio usa il sistema di gestione pacchetti fornito dalla distribuzione per determinare per quali pacchetti sono disponibili aggiornamenti. Controlla anche la presenza di aggiornamenti critici e della sicurezza dalle macchine virtuali di Servizi cloud di Azure.
Vulnerabilità del sistema operativo Analizza giornalmente le configurazioni del sistema operativo per determinare i problemi che potrebbero rendere vulnerabile agli attacchi la macchina virtuale. Il criterio consiglia anche le modifiche alla configurazione necessarie per risolvere queste vulnerabilità. Vedere l' elenco delle baseline consigliate per altre informazioni sulle configurazioni specifiche monitorate. (Al momento, Windows Server 2016 non è completamente supportato.)
Endpoint Protection Suggerisce l'Endpoint Protection di cui eseguire il provisioning per tutte le macchine virtuali di Windows, per identificare e rimuovere virus, spyware e altro software dannoso.
Crittografia del disco Suggerisce di abilitare la crittografia dischi in tutte le macchine virtuali per migliorare la protezione dei dati inattivi.
Gruppi di sicurezza di rete Consiglia di configurare gruppi di sicurezza di rete per controllare il traffico in ingresso e in uscita nelle VM che hanno endpoint pubblici. I gruppi di sicurezza di rete configurati per una subnet vengono ereditati da tutte le interfacce di rete della macchina virtuale se non diversamente specificato. Oltre a controllare che sia stato configurato un gruppo di sicurezza di rete, questo criterio valuta le regole di sicurezza in ingresso per identificare le regole che consentono il traffico in ingresso.
Web application firewall Consiglia di effettuare il provisioning di un Web application firewall nelle macchine virtuali quando una delle due affermazioni seguenti è vera:
Viene usato l'IP pubblico a livello di istanza (ILPIP) e le regole di sicurezza in ingresso per il gruppo di sicurezza di rete associato vengono configurate in modo da consentire l'accesso alla porta 80/443.

IP con carico bilanciato e le regole NAT (Network Address Translation) in ingresso e di bilanciamento del carico associate sono configurate per consentire l'accesso alla porta 80/443. Per altre informazioni, vedere Supporto di Azure Resource Manager per il servizio di bilanciamento del carico.
Firewall di nuova generazione Estende le protezioni di rete oltre i gruppi di sicurezza di rete predefiniti di Azure. Il Centro sicurezza troverà le distribuzioni per cui è consigliabile un firewall di nuova generazione e consentirà di effettuare il provisioning di un'appliance virtuale.
Servizio di controllo SQL e rilevamento delle minacce Consiglia l'abilitazione del controllo dell'accesso al database di Azure per la conformità e il rilevamento avanzato delle minacce, per scopi di analisi.
Crittografia SQL Consiglia l'abilitazione della crittografia dati inattivi per il database SQL di Azure, i backup associati e file di log delle transazioni. Anche se i dati vengono violati, non saranno leggibili.
Valutazione della vulnerabilità Consiglia di installare una soluzione di valutazione della vulnerabilità nella VM.
Crittografia di archiviazione Questa funzionalità è attualmente disponibile per BLOB di Azure e File di Azure. Dopo l'abilitazione della Crittografia del servizio di archiviazione verranno crittografati solo i nuovi dati, mentre i file già esistenti nell'account di archiviazione rimarranno non crittografati.
Accesso alla rete JIT Quando è abilitata la funzionalità Just-in-Time, Centro sicurezza protegge il traffico in ingresso alle macchine virtuali di Azure creando una regola del gruppo di sicurezza di rete. Selezionare le porte nella macchina virtuale per cui bloccare il traffico in ingresso. Per altre informazioni, vedere Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time).

Dopo avere configurato tutte le opzioni, fare clic su OK nel pannello Criteri di sicurezza contenente le raccomandazioni e quindi su Salva nel pannello Criteri di sicurezza contenente le impostazioni iniziali.

Nota

Il piano tariffario è ancora applicabile per il livello di gruppo di risorse. Per altre informazioni, visitare la pagina Prezzi.

Vedere anche

In questo documento è stato descritto come configurare i criteri di sicurezza nel Centro sicurezza di Azure. Per ulteriori informazioni sul Centro sicurezza di Azure, vedere gli argomenti seguenti: