Utilizzo dei criteri di sicurezzaWorking with security policies

Questo articolo illustra come vengono configurati i criteri di sicurezza e come visualizzarli nel Centro sicurezza.This article explains how security policies are configured, and how to view them in Security Center.

Introduzione ai criteri di sicurezzaIntroduction to security policies

Un criterio di sicurezza definisce la configurazione desiderata dei carichi di lavoro e contribuisce a garantire la conformità ai requisiti di sicurezza della società o dei regolatori.A security policy defines the desired configuration of your workloads and helps ensure you're complying with the security requirements of your company or regulators.

Il Centro sicurezza di Azure apporta le raccomandazioni sulla sicurezza in base ai criteri scelti.Azure Security Center makes its security recommendations based on your chosen policies. I criteri del Centro sicurezza si basano sulle iniziative dei criteri create in criteri di Azure.Security Center policies are based on policy initiatives created in Azure Policy. È possibile usare i criteri di Azure per gestire i criteri e impostare i criteri tra i gruppi di gestione e tra più sottoscrizioni.You can use Azure Policy to manage your policies and to set policies across Management groups and across multiple subscriptions.

Il Centro sicurezza offre le opzioni seguenti per l'uso dei criteri di sicurezza:Security Center offers the following options for working with security policies:

  • Visualizzare e modificare i criteri predefiniti predefiniti : quando si Abilita il Centro sicurezza, un'iniziativa predefinita denominata ' ASC default ' viene assegnata automaticamente a tutte le sottoscrizioni registrate del Centro sicurezza (livelli gratuito o standard).View and edit the built-in default policy - When you enable Security Center, a built-in initiative named 'ASC default' is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). Per personalizzare questa iniziativa, è possibile abilitare o disabilitare singoli criteri al suo interno.To customize this initiative, you can enable or disable individual policies within it. Per informazioni sulle opzioni disponibili, vedere l'elenco dei criteri di sicurezza predefiniti .See the list of built-in security policies to understand the options available out-of-the-box.

  • Aggiungere criteri personalizzati : se si desidera personalizzare le iniziative di sicurezza applicate alla sottoscrizione, è possibile eseguire questa operazione nel centro sicurezza.Add your own custom policies - If you want to customize the security initiatives applied to your subscription, you can do so within Security Center. Si riceveranno quindi consigli se i computer non seguono i criteri creati.You'll then receive recommendations if your machines don't follow the policies you create. Per istruzioni sulla creazione e l'assegnazione di criteri personalizzati, vedere uso dei criteri di sicurezza personalizzati.For instructions on building and assigning custom policies, see Using custom security policies.

  • Aggiungere i criteri di conformità normativi : il dashboard di conformità normativa del Centro sicurezza Mostra lo stato di tutte le valutazioni all'interno dell'ambiente nel contesto di uno standard o di una norma particolare, ad esempio Azure CIS, NIST SP 800-53 R4, Swift CSP CSCF-V2020.Add regulatory compliance policies - Security Center's regulatory compliance dashboard shows the status of all the assessments within your environment in the context of a particular standard or regulation (such as Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020). Per ulteriori informazioni, vedere migliorare la conformità alle normative.For more information, see Improve your regulatory compliance.

Gestione dei criteri di sicurezzaManaging your security policies

Per visualizzare i criteri di sicurezza nel Centro sicurezza:To view your security policies in Security Center:

  1. Nel dashboard del Centro sicurezza selezionare Criteri di sicurezza.In the Security Center dashboard, select Security policy.

    Riquadro Gestione dei criteri

    Nella schermata Gestione dei criteri è possibile visualizzare il numero dei gruppi di gestione, delle sottoscrizioni e delle aree di lavoro, oltre alla struttura dei gruppi di gestione.In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

  2. Selezionare la sottoscrizione o il gruppo di gestione di cui si vogliono visualizzare i criteri.Select the subscription or management group whose policies you want to view.

  3. Verrà visualizzata la pagina Criteri di sicurezza per la sottoscrizione o il gruppo di gestione.The security policy page for that subscription or management group appears. Mostra i criteri disponibili e assegnati.It shows the available and assigned policies.

    Schermata dei criteri

    Nota

    Se è presente un'etichetta "MG ereditato" insieme ai criteri predefiniti, significa che il criterio è stato assegnato a un gruppo di gestione e ereditato dalla sottoscrizione che si sta visualizzando.If there is a label "MG Inherited" alongside your default policy, it means that the policy has been assigned to a management group and inherited by the subscription you're viewing.

  4. Scegliere tra le opzioni disponibili in questa pagina:Choose from the available options on this page:

    1. Per usare i criteri di settore, selezionare Aggiungi altri standard.To work with industry policies, select Add more standards. Per altre informazioni, vedere aggiornare i pacchetti di conformità dinamici.For more information, see Update to dynamic compliance packages.

    2. Per assegnare e gestire le iniziative personalizzate, selezionare Aggiungi iniziative personalizzate.To assign and manage custom initiatives, select Add custom initiatives. Per ulteriori informazioni, vedere utilizzo dei criteri di sicurezza personalizzati.For more information, see Using custom security policies.

    3. Per visualizzare e modificare i criteri predefiniti, selezionare Visualizza criteri validi e procedere come descritto di seguito.To view and edit the default policy, select View effective policy and proceed as described below.

      Schermata dei criteri

      Questa schermata dei criteri di sicurezza riflette l'azione eseguita dai criteri assegnati alla sottoscrizione o al gruppo di gestione selezionato.This Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.

      • Usare i collegamenti nella parte superiore per aprire un' assegnazione dei criteri che si applica alla sottoscrizione o al gruppo di gestione.Use the links at the top to open a policy assignment that applies on the subscription or management group. Questi collegamenti consentono di accedere all'assegnazione e modificare o disabilitare i criteri.These links let you access the assignment and edit or disable the policy. Se, ad esempio, si nota che un'assegnazione di criteri specifica nega effettivamente Endpoint Protection, utilizzare il collegamento per modificare o disabilitare i criteri.For example, if you see that a particular policy assignment is effectively denying endpoint protection, use the link to edit or disable the policy.

      • Nell'elenco dei criteri è possibile visualizzare l'applicazione effettiva del criterio nella sottoscrizione o nel gruppo di gestione.In the list of policies, you can see the effective application of the policy on your subscription or management group. Vengono prese in considerazione le impostazioni di ogni criterio applicato all'ambito e viene visualizzato il risultato cumulativo delle azioni eseguite dal criterio.The settings of each policy that apply to the scope are taken into consideration and the cumulative outcome of actions taken by the policy is shown. Se, ad esempio, in un'assegnazione dei criteri è disabilitata, ma in un'altra è impostata su AuditIfNotExist, l'effetto cumulativo si applica a AuditIfNotExist.For example, if in one assignment of the policy is disabled, but in another it's set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. L'effetto più attivo ha sempre la precedenza.The more active effect always takes precedence.

      • L'effetto dei criteri può essere: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled.The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Per altre informazioni su come vengono applicati gli effetti, vedere Informazioni sugli effetti di Criteri.For more information on how effects are applied, see Understand Policy effects.

      Nota

      Quando si visualizzano i criteri assegnati, è possibile visualizzare più assegnazioni e anche come è configurata ogni singola assegnazione.When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

Utenti che possono modificare i criteri di sicurezzaWho can edit security policies?

È possibile modificare i criteri di sicurezza tramite il portale Criteri di Azure, l'API REST o Windows PowerShell.You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell.

Il Centro sicurezza usa il controllo degli accessi in base al ruolo, che fornisce ruoli predefiniti assegnabili a utenti, gruppi e servizi in Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. Quando un utente apre il Centro sicurezza, visualizza solo informazioni correlate alle risorse a cui ha accesso.When users open Security Center, they see only information that's related to resources they have access to. Il che significa che agli utenti viene assegnato il ruolo di proprietario, collaboratoreo lettore alla sottoscrizione della risorsa.Which means that users are assigned the role of owner, contributor, or reader to the resource's subscription. Oltre a questi ruoli, esistono due ruoli specifici del Centro sicurezza:As well as these roles, there are two specific Security Center roles:

  • Letturaper la sicurezza: avere i diritti di visualizzazione per il Centro sicurezza, che include consigli, avvisi, criteri e integrità, ma non possono apportare modifiche.Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • Amministratore della sicurezza: hanno gli stessi diritti di visualizzazione del lettore di sicurezzae possono anche aggiornare i criteri di sicurezza e ignorare le raccomandazioni e gli avvisi.Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

Disabilitare i criteri di sicurezzaDisable security policies

Se i criteri di sicurezza predefiniti generano una raccomandazione non pertinente per l'ambiente in uso, è possibile arrestarla disabilitando la definizione dei criteri che invia la raccomandazione.If the default security policy is generating a recommendation that's not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. Per ulteriori informazioni sulle raccomandazioni, vedere gestione delle raccomandazioni sulla sicurezza.For more information about recommendations, see Managing security recommendations.

  1. Nella sezione policy & Compliance del Centro sicurezza selezionare criteri di sicurezza.In Security Center, from the Policy & Compliance section, select Security policy.

    gestione dei criteri

  2. Selezionare la sottoscrizione o il gruppo di gestione per il quale si desidera disabilitare la raccomandazione.Select the subscription or management group for which you want to disable the recommendation.

    Nota

    Tenere presente che un gruppo di gestione applica i propri criteri alle relative sottoscrizioni.Remember that a management group applies its policies to its subscriptions. Pertanto, se si disabilita un criterio di una sottoscrizione e la sottoscrizione appartiene a un gruppo di gestione che usa ancora lo stesso criterio, si continuerà a ricevere le raccomandazioni relative al criterio in questione.Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. Il criterio verrà comunque applicato dal livello di gestione e le raccomandazioni continueranno a essere generate.The policy will still be applied from the management level and the recommendations will still be generated.

  3. Selezionare Visualizza criteri validi.Select View effective policy.

    disabilitare i criteri

  4. Selezionare i criteri assegnati.Select the assigned policy.

    disabilitare i criteri

  5. Nella sezione parametri cercare i criteri che richiamano la raccomandazione che si desidera disabilitare e nell'elenco a discesa selezionare disabilitatoIn the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    disabilitare i criteri

  6. Selezionare Salva.Select Save.

    Nota

    Per rendere effettive le modifiche ai criteri di disabilitazione possono essere necessarie fino a 12 ore.The disable policy changes can take up to 12 hours to take effect.

Passaggi successiviNext steps

In questo articolo sono stati illustrati i criteri di sicurezza.In this article, you learned about security policies. Per informazioni correlate, vedere gli articoli seguenti:For related information, see the following articles: