Impostare i criteri di sicurezza nel Centro sicurezza di AzureSet security policies in Azure Security Center

Questo articolo illustra come configurare i criteri di sicurezza nel Centro sicurezza.This article helps you configure security policies in Security Center.

Funzionamento dei criteri di sicurezzaHow security policies work

Il Centro sicurezza crea automaticamente un criterio di sicurezza predefinito per ogni sottoscrizione di Azure.Security Center automatically creates a default security policy for each of your Azure subscriptions. Nel Centro sicurezza è possibile modificare i criteri e monitorarne la conformità.In Security Center, you can edit the policies and monitor policy compliance.

Nota

I criteri del Centro sicurezza possono ora essere estesi usando Criteri di Azure, disponibile in anteprima limitata.You can now extend Security Center policies by using Azure Policy, which is in limited preview. Per partecipare all'anteprima, passare a Sign up for Azure Policy (Iscrizione a Criteri di Azure).To join the preview, go to Sign up for Azure Policy. Per altre informazioni, vedere Integrare i criteri di sicurezza del Centro sicurezza con Criteri di Azure.For more information, see Integrate Security Center security policies with Azure Policy.

I requisiti di sicurezza per le risorse usate per lo sviluppo o i test possono variare rispetto ai requisiti per le risorse usate per le applicazioni di produzione.The security requirements for resources that are used for development or test might vary from the requirements for resources that are used for production applications. Le applicazioni che usano dati regolamentati, come le informazioni personali, possono richiedere un livello di sicurezza superiore.Applications that use regulated data, such as personally identifiable information, might require a higher level of security. I criteri di protezione abilitati nel Centro sicurezza di Azure determinano i suggerimenti per la sicurezza e il monitoraggio per identificare le potenziali vulnerabilità e attenuare le minacce.Security policies that are enabled in Azure Security Center drive security recommendations and monitoring to help you identify potential vulnerabilities and mitigate threats. Per altre informazioni su come determinare l'opzione più appropriata, vedere Guida alla pianificazione e alla gestione del Centro sicurezza di Azure.For more information about how to determine the option that is appropriate for you, see Azure Security Center planning and operations guide.

Modificare i criteri di sicurezzaEdit security policies

È possibile modificare i criteri di sicurezza predefiniti per ogni sottoscrizione di Azure nel Centro sicurezza.You can edit the default security policy for each of your Azure subscriptions in Security Center. Per modificare i criteri di sicurezza, è necessario essere proprietario, collaboratore o amministratore della sicurezza della sottoscrizione.To modify a security policy, you must be an owner, contributor, or security administrator of the subscription. Per configurare i criteri di sicurezza nel Centro sicurezza, seguire questa procedura:To configure security policies in Security Center, do the following:

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Nel dashboard Centro sicurezza in Generale selezionare Criteri di sicurezza.On the Security Center dashboard, under General, select Security policy.

  3. Selezionare la sottoscrizione per cui abilitare un criterio di sicurezza.Select the subscription that you want to enable a security policy for.

  4. Nella sezione Componenti dei criteri selezionare Criteri di sicurezza.In the Policy Components section, select Security policy.
    Questi sono i criteri predefiniti assegnati dal Centro sicurezza.This is the default policy that's assigned by Security Center. È possibile attivare o disattivare le raccomandazioni sulla sicurezza disponibili.You can turn on or off the available security recommendations.

  5. Al termine delle modifiche, selezionare Salva.When you finish editing, select Save.

Definizioni di criteri di sicurezza disponibiliAvailable security policy definitions

Per informazioni sulle definizioni dei criteri disponibili nel criterio di sicurezza predefinito, vedere la tabella seguente:To understand the policy definitions that are available in the default security policy, refer to the following table:

CriteriPolicy Operazioni eseguite dai criteriWhat the policy does
Aggiornamenti del sistemaSystem updates Recupera un elenco giornaliero degli aggiornamenti della sicurezza e critici da Windows Update o da Windows Server Update Services.Retrieves a daily list of available security and critical updates from Windows Update or Windows Server Update Services. L'elenco recuperato dipende dal servizio configurato per le macchine virtuali e consiglia di applicare gli aggiornamenti mancanti.The retrieved list depends on the service that's configured for your virtual machines, and it recommends that missing updates be applied. Per i sistemi Linux, il criterio usa il sistema di gestione pacchetti fornito dalla distribuzione per determinare per quali pacchetti sono disponibili aggiornamenti.For Linux systems, the policy uses the distro-provided package-management system to determine packages that have available updates. Controlla anche la presenza di aggiornamenti critici e della sicurezza dalle macchine virtuali di Servizi cloud di Azure.It also checks for security and critical updates from Azure Cloud Services virtual machines.
Vulnerabilità del sistema operativoOS vulnerabilities Analizza giornalmente le configurazioni del sistema operativo per determinare i problemi che potrebbero rendere vulnerabile agli attacchi la macchina virtuale.Analyzes operating system configurations daily to determine issues that could make the virtual machine vulnerable to attack. Il criterio consiglia anche le modifiche alla configurazione necessarie per risolvere queste vulnerabilità.The policy also recommends configuration changes to address these vulnerabilities. Per altre informazioni sulle configurazioni specifiche sottoposte a monitoraggio, vedere l'elenco di baseline consigliate.For more information about the specific configurations that are being monitored, see the list of recommended baselines. (Al momento, Windows Server 2016 non è completamente supportato.)(At this time, Windows Server 2016 is not fully supported.)
Endpoint ProtectionEndpoint protection Consiglia di configurare Endpoint Protection per tutte le macchine virtuali di Windows, per identificare e rimuovere virus, spyware e altro software dannoso.Recommends that endpoint protection be set up for all Windows virtual machines (VMs) to help identify and remove viruses, spyware, and other malicious software.
Crittografia del discoDisk encryption Suggerisce di abilitare la crittografia dischi in tutte le macchine virtuali per migliorare la protezione dei dati inattivi.Recommends enabling disk encryption in all virtual machines to enhance data protection at rest.
Gruppi di sicurezza di reteNetwork security groups Consiglia di configurare gruppi di sicurezza di rete per controllare il traffico in ingresso e in uscita nelle VM che hanno endpoint pubblici.Recommends that network security groups be configured to control inbound and outbound traffic to VMs that have public endpoints. I gruppi di sicurezza di rete configurati per una subnet vengono ereditati da tutte le interfacce di rete della macchina virtuale se non diversamente specificato.Network security groups that are configured for a subnet are inherited by all virtual-machine network interfaces unless otherwise specified. Oltre a controllare che sia stato configurato un gruppo di sicurezza di rete, questo criterio valuta le regole di sicurezza in ingresso per identificare le regole che consentono il traffico in ingresso.In addition to checking to see whether a network security group has been configured, this policy assesses inbound security rules to identify rules that allow incoming traffic.
Web application firewallWeb application firewall Consiglia di configurare un Web application firewall nelle macchine virtuali quando una delle due affermazioni seguenti è vera:Recommends that a web application firewall be set up on virtual machines when either of the following is true:
  • Viene usato un IP pubblico a livello di istanza e le regole di sicurezza in ingresso per il gruppo di sicurezza di rete associato vengono configurate in modo da consentire l'accesso alla porta 80/443.An instance-level public IP is used, and the inbound security rules for the associated network security group are configured to allow access to port 80/443.
  • Viene usato un IP con carico bilanciato e le regole NAT (Network Address Translation) in ingresso e di bilanciamento del carico associate sono configurate per consentire l'accesso alla porta 80/443.A load-balanced IP is used, and the associated load balancing and inbound network address translation (NAT) rules are configured to allow access to port 80/443. Per altre informazioni, vedere Supporto di Azure Resource Manager per Load Balancer.For more information, see Azure Resource Manager support for Load Balancer.
Firewall di nuova generazioneNext generation firewall Estende le protezioni di rete oltre i gruppi di sicurezza di rete predefiniti di Azure.Extends network protections beyond network security groups, which are built into Azure. Il Centro sicurezza individua le distribuzioni per cui è consigliabile un firewall di nuova generazione ed è quindi possibile configurare un'appliance virtuale.Security Center discovers deployments for which a next generation firewall is recommended, and then you can set up a virtual appliance.
Controllo e rilevamento delle minacce SQLSQL auditing and threat detection Consiglia l'abilitazione del controllo dell'accesso al database SQL per la conformità e il rilevamento avanzato delle minacce, per scopi di analisi.Recommends that auditing of access to your SQL database be enabled for both compliance and advanced threat detection, for investigation purposes.
Crittografia SQLSQL encryption Consiglia l'abilitazione della crittografia dei dati inattivi per il database SQL, i backup associati e file di log delle transazioni.Recommends that encryption at rest be enabled for your SQL database, associated backups, and transaction log files. Anche se i dati vengono violati, non sono leggibili.Even if your data is breached, it is not readable.
Valutazione della vulnerabilitàVulnerability assessment Consiglia di installare una soluzione di valutazione della vulnerabilità nella VM.Recommends that you install a vulnerability assessment solution on your VM.
Crittografia di archiviazioneStorage encryption Questa funzionalità è attualmente disponibile per BLOB e File di Azure.Currently, this feature is available for blobs and Azure Files. Dopo l'abilitazione della Crittografia del servizio di archiviazione vengono crittografati solo i nuovi dati, mentre i file già esistenti nell'account di archiviazione rimangono non crittografati.After you enable Storage Service Encryption, only new data is encrypted, and any existing files in this storage account remain unencrypted.
Accesso alla rete JITJIT network access Quando è abilitato l'accesso alla rete Just-in-Time, il Centro sicurezza protegge il traffico in ingresso alle macchine virtuali di Azure creando una regola del gruppo di sicurezza di rete.When just-in-time network access is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Selezionare le porte nella macchina virtuale per cui bloccare il traffico in ingresso.You select the ports on the VM to which inbound traffic should be locked down. Per altre informazioni, vedere Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time).For more information, see Manage virtual machine access using just in time.

Passaggi successiviNext steps

In questo articolo si è appreso come configurare i criteri di sicurezza nel Centro sicurezza.In this article, you learned how to configure security policies in Security Center. Per altre informazioni sul Centro sicurezza, vedere gli articoli seguenti:To learn more about Security Center, see the following articles: