Baseline della sicurezza di Azure per desktop virtuale WindowsAzure security baseline for Windows Virtual Desktop

Questa linea di base di sicurezza applica le linee guida del benchmark di sicurezza di Azure versione 2,0 al desktop virtuale di Windows.This security baseline applies guidance from the Azure Security Benchmark version 2.0 to Windows Virtual Desktop. Azure Security Benchmark offre consigli sulla protezione delle soluzioni cloud in Azure.The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. Il contenuto viene raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza di Azure e alle linee guida correlate applicabili al desktop virtuale di Windows.The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Windows Virtual Desktop. I controlli non applicabili al desktop virtuale Windows sono stati esclusi.Controls not applicable to Windows Virtual Desktop have been excluded.

Il servizio desktop virtuale di Windows include il servizio stesso, Windows 10 Enterprise per SKU virtuali a più sessioni, oltre a FSLogix.Windows Virtual Desktop service includes the service itself, the Windows 10 Enterprise for multi-session virtual sku as well as FSLogix. Per indicazioni sulla sicurezza relative a FSLogix, vedere la linea di base di sicurezza per l'archiviazione.For FSLogix-related security recommendations, see the security baseline for storage. Il servizio dispone di un agente in esecuzione sulle macchine virtuali, ma poiché le macchine virtuali sono sotto il controllo completo del cliente, seguire le raccomandazioni di sicurezza per il calcoloThe service has an agent running on virtual machines but since the virtual machines are under full control of the customer, follow security recommendations for compute

Per informazioni sul modo in cui il desktop virtuale di Windows viene mappato completamente al benchmark di sicurezza di Azure, vedere il file di mapping della linea di base di sicurezza desktop completo di WindowsTo see how Windows Virtual Desktop completely maps to the Azure Security Benchmark, see the full Windows Virtual Desktop security baseline mapping file.

Sicurezza di reteNetwork Security

Per altre informazioni, vedere Azure Security Benchmark: Sicurezza di rete.For more information, see the Azure Security Benchmark: Network Security.

NS-1: implementare la sicurezza per il traffico internoNS-1: Implement security for internal traffic

Linee guida: è necessario creare o usare una rete virtuale esistente quando si distribuiscono macchine virtuali da registrare in un desktop virtuale di Windows.Guidance: You must create or use an existing virtual network when you deploy virtual machines to be registered to Windows Virtual Desktop. Assicurarsi che tutte le reti virtuali di Azure seguano un principio di segmentazione aziendale che sia allineato ai rischi aziendali.Ensure that all Azure virtual networks follow an enterprise segmentation principle that aligns to the business risks. Tutti i sistemi che potrebbero comportare un rischio maggiore per l'organizzazione devono essere isolati all'interno della propria rete virtuale e sufficientemente protetti con un gruppo di sicurezza di rete o un firewall di Azure.Any system that could incur higher risk for the organization should be isolated within its own virtual network and sufficiently secured with either a network security group or Azure Firewall.

Usare le funzionalità di protezione avanzata della rete adattiva nel centro sicurezza di Azure per consigliare le configurazioni dei gruppi di sicurezza di rete che limitano le porte e gli indirizzi IP di origine con riferimento alle regole del traffico di reteUse Adaptive Network Hardening features in Azure Security Center to recommend network security group configurations which limit ports and source IPs with reference to external network traffic rules.

In base alle applicazioni e alla strategia di segmentazione aziendale, limitare o consentire il traffico tra le risorse interne basate sulle regole del gruppo di sicurezza di rete.Based on your applications and enterprise segmentation strategy, restrict or allow traffic between internal resources based on network security group rules. Per applicazioni specifiche ben definite, ad esempio un'applicazione a 3 livelli, può trattarsi di un approccio altamente sicuro "Nega per impostazione predefinita, Consenti per eccezione".For specific well-defined applications (such as a 3-tier app), this can be a highly secure "deny by default, permit by exception" approach. Questo potrebbe non essere scalabile se si dispone di molte applicazioni ed endpoint che interagiscono tra loro.This might not scale well if you have many applications and endpoints interacting with each other. È anche possibile usare il firewall di Azure in situazioni in cui la gestione centrale è necessaria per un numero elevato di segmenti o spoke aziendali (in una topologia hub/spoke)You can also use Azure Firewall in circumstances where central management is required over a large number of enterprise segments or spokes (in a hub/spoke topology)

Per i gruppi di sicurezza di rete associati alla macchina virtuale, che fanno parte delle subnet di desktop virtuali Windows, è necessario consentire il traffico in uscita verso endpoint specifici.For the network security groups associated with your virtual machine (that are part of Windows Virtual Desktop) subnets, you must allow outgoing traffic to specific endpoints.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

NS-2: connettere le reti privateNS-2: Connect private networks together

Linee guida: usare Azure ExpressRoute o la rete privata virtuale di Azure per creare connessioni private tra i Data Center di Azure e l'infrastruttura locale in un ambiente di condivisione percorso.Guidance: Use Azure ExpressRoute or Azure virtual private network to create private connections between Azure datacenters and on-premises infrastructure in a colocation environment. Le connessioni ExpressRoute non passano attraverso la rete Internet pubblica, offrono maggiore affidabilità, velocità più elevate e latenze più basse rispetto alle connessioni Internet tipiche.ExpressRoute connections do not go over the public internet, offer more reliability, faster speeds and lower latencies than typical internet connections.

Per reti private virtuali da punto a sito e da sito a sito, è possibile connettere i dispositivi o le reti locali a una rete virtuale usando qualsiasi combinazione di opzioni di rete privata virtuale e Azure ExpressRoute.For point-to-site and site-to-site virtual private networks, you can connect on-premises devices or networks to a virtual network using any combination of virtual private network options and Azure ExpressRoute.

Usare il peering di rete virtuale per connettere due o più reti virtuali in Azure.Use virtual network peering to connect two or more virtual networks together in Azure. Il traffico di rete tra reti virtuali con peering è privato e rimane nella rete backbone di Azure.Network traffic between peered virtual networks is private and stays on the Azure backbone network.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

NS-4: proteggere le applicazioni e i servizi da attacchi di rete esterniNS-4: Protect applications and services from external network attacks

Linee guida: usare il firewall di Azure per proteggere le applicazioni e i servizi da traffico potenzialmente dannoso da Internet e da altre posizioni esterne.Guidance: Use Azure Firewall to protect applications and services against potentially malicious traffic from the internet and other external locations. Proteggi le tue risorse di desktop virtuali Windows da attacchi di reti esterne, inclusi attacchi di tipo Denial of Service distribuiti, attacchi specifici dell'applicazione, traffico Internet indesiderato e potenzialmente dannoso.Protect your Windows Virtual Desktop resources against attacks from external networks, including distributed denial of service attacks, application specific attacks, unsolicited and potentially malicious internet traffic. Proteggi le tue risorse da attacchi di tipo Denial of Service distribuiti abilitando la protezione standard DDoS nelle tue reti virtuali di Azure.Protect your assets against distributed denial of service attacks by enabling DDoS standard protection on your Azure Virtual Networks. Usare il Centro sicurezza di Azure per rilevare i rischi di configurazione errata correlati alle risorse correlate alla rete.Use Azure Security Center to detect misconfiguration risks related to your network related resources.

Desktop virtuale Windows non è progettato per l'esecuzione di applicazioni Web e non richiede la configurazione di impostazioni aggiuntive o la distribuzione di eventuali servizi di rete aggiuntivi per proteggerli da attacchi di rete esterni destinati ad applicazioni Web.Windows Virtual Desktop is not intended to run web applications, and does not require you to configure any additional settings or deploy any extra network services to protect it from external network attacks targeting web applications.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

NS-5: distribuire sistemi di rilevamento intrusione/prevenzione intrusioni (IDS/IP)NS-5: Deploy intrusion detection/intrusion prevention systems (IDS/IPS)

Linee guida: usare il firewall di Azure con il filtro basato su Intelligence per le minacce per inviare avvisi e, facoltativamente, bloccare il traffico verso e da domini e indirizzi IP dannosi noti.Guidance: Use Azure Firewall with threat intelligence based filtering to alert on and optionally block traffic to and from known malicious IP addresses and domains. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed. Quando è richiesta l'ispezione del payload, è possibile distribuire una soluzione di rilevamento o prevenzione delle intrusioni di terze parti da Azure Marketplace.When payload inspection is required, you can deploy a third-party intrusion detection or prevention solution from the Azure Marketplace.

Se si dispone di requisiti normativi o di altro genere per l'utilizzo della soluzione di rilevamento o prevenzione delle intrusioni, verificare che sia sempre ottimizzato per fornire avvisi di alta qualità alla soluzione di gestione di informazioni ed eventi di sicurezza (SIEM).If you have a regulatory or other requirement for intrusion detection or prevention solution usage, ensure that it is always tuned to provide high-quality alerts to your security information and event management (SIEM) solution.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

NS-6: semplificare le regole di sicurezza di reteNS-6: Simplify network security rules

Indicazioni: usare i tag del servizio rete virtuale di Azure per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in un firewall di Azure configurato per le risorse del desktop virtuale di Windows.Guidance: Use Azure Virtual Network service tags to define network access controls on network security groups or an Azure Firewall configured for your Windows Virtual Desktop resources. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza.You can use service tags in place of specific IP addresses when creating security rules. Specificando il nome del tag di servizio (ad esempio: WindowsVirtualDesktop) nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.By specifying the service tag name (For example: WindowsVirtualDesktop) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Identity ManagementIdentity Management

Per altre informazioni, vedere Azure Security Benchmark: Gestione delle identità.For more information, see the Azure Security Benchmark: Identity Management.

IM-1: Standardizzare Azure Active Directory come sistema di identità e autenticazione centraleIM-1: Standardize Azure Active Directory as the central identity and authentication system

Indicazioni: desktop virtuale di Windows usa Azure Active Directory (Azure ad) come servizio predefinito di gestione delle identità e degli accessi.Guidance: Windows Virtual Desktop uses Azure Active Directory (Azure AD) as the default identity and access management service. È necessario standardizzare Azure AD per gestire la gestione delle identità e degli accessi dell'organizzazione in:You should standardize Azure AD to govern your organization’s identity and access management in:

  • Microsoft Cloud risorse, ad esempio portale di Azure, archiviazione di Azure, macchine virtuali di Azure (Linux e Windows), Azure Key Vault, PaaS e applicazioni SaaS.Microsoft Cloud resources, such as the Azure portal, Azure Storage, Azure Virtual Machine (Linux and Windows), Azure Key Vault, PaaS, and SaaS applications.

  • Risorse dell'organizzazione, come le applicazioni in Azure o le risorse della rete aziendale.Your organization's resources, such as applications on Azure or your corporate network resources.

La protezione di Azure AD deve essere una priorità nella procedura di sicurezza del cloud dell'organizzazione.Securing Azure AD should be a high priority in your organization’s cloud security practice. Azure AD offre un punteggio di sicurezza delle identità che consente di valutare il comportamento di sicurezza delle identità rispetto alle procedure consigliate di Microsoft.Azure AD provides an identity secure score to help you assess identity security posture relative to Microsoft’s best practice recommendations. Usare il punteggio per misurare in che modo la configurazione aderisce alle procedure consigliate e per apportare miglioramenti al comportamento di sicurezza.Use the score to gauge how closely your configuration matches best practice recommendations, and to make improvements in your security posture.

Azure AD supporta identità esterne che consentono agli utenti senza account Microsoft di accedere alle applicazioni e alle risorse con la loro identità esterna.Azure AD supports external identities which allow users without a Microsoft account to sign-in to their applications and resources with their external identity.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IM-2: Gestire le identità dell'applicazione in modo sicuro e automaticoIM-2: Manage application identities securely and automatically

Indicazioni: desktop virtuale Windows supporta le identità gestite di Azure per account non umani, ad esempio servizi o automazione.Guidance: Windows Virtual Desktop supports Azure managed identities for non-human accounts such as services or automation. È consigliabile usare la funzionalità identità gestita di Azure anziché creare un account umano più potente per accedere o eseguire le risorse.It is recommended to use Azure managed identity feature instead of creating a more powerful human account to access or execute your resources.

Desktop virtuale di Windows consiglia di usare Azure Active Directory (Azure AD) per creare un'entità servizio con autorizzazioni limitate a livello di risorsa per configurare le entità servizio con le credenziali del certificato e per eseguire il fallback ai segreti client.Windows Virtual Desktop recommends using Azure Active Directory (Azure AD) to create a service principal with restricted permissions at the resource level to configure service principals with certificate credentials and fall back to client secrets. In entrambi i casi, Azure Key Vault può essere usato in combinazione con le identità gestite di Azure, in modo che l'ambiente di runtime (ad esempio, una funzione di Azure) possa recuperare le credenziali dall'insieme di credenziali delle chiavi.In both cases, Azure Key Vault can be used to in conjunction with Azure managed identities, so that the runtime environment (such as, an Azure Function) can retrieve the credential from the key vault.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IM-3: Usare l'accesso Single Sign-On (SSO) di Azure per accedere alle applicazioniIM-3: Use Azure AD single sign-on (SSO) for application access

Indicazioni: desktop virtuale di Windows usa Azure Active Directory (Azure ad) per fornire la gestione delle identità e dell'accesso alle risorse di Azure, alle applicazioni cloud e alle applicazioni locali.Guidance: Windows Virtual Desktop uses Azure Active Directory (Azure AD) to provide identity and access management to Azure resources, cloud applications, and on-premises applications. Sono incluse le identità aziendali, ad esempio i dipendenti, nonché le identità esterne come partner e fornitori.This includes enterprise identities such as employees, as well as external identities such as partners, vendors, and suppliers. Ciò consente all'accesso Single Sign-On (SSO) di gestire e proteggere l'accesso ai dati e alle risorse dell'organizzazione in locale e nel cloud.This enables single sign-on (SSO) to manage and secure access to your organization’s data and resources on-premises and in the cloud. Connetti tutti gli utenti, le applicazioni e i tuoi dispositivi a Azure AD per un accesso sicuro senza problemi con maggiore visibilità e controllo.Connect all your users, applications, and devices to Azure AD for seamless secure access with greater visibility and control.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IM-4: Usare i controlli di autenticazione avanzata per tutti gli accessi basati su Azure Active DirectoryIM-4: Use strong authentication controls for all Azure Active Directory based access

Indicazioni: desktop virtuale di Windows usa Azure Active Directory (Azure ad), che supporta i controlli di autenticazione avanzata tramite l'autenticazione a più fattori e metodi avanzati per le password.Guidance: Windows Virtual Desktop uses Azure Active Directory (Azure AD), which supports strong authentication controls through multifactor authentication and strong passwordless methods.

  • Autenticazione a più fattori: abilitare l'autenticazione a più fattori Azure AD e seguire le raccomandazioni per la gestione delle identità e dell'accesso dal centro sicurezza di Azure per alcune procedure consigliate per la configurazione dell'autenticazione a più fattori.Multifactor authentication - Enable Azure AD multifactor authentication and follow Identity and Access Management recommendations from Azure Security Center for some best practices in your multifactor authentication setup. L'autenticazione a più fattori può essere applicata a tutti, selezionare gli utenti o a livello di utente in base alle condizioni di accesso e ai fattori di rischio.Multifactor authentication can be enforced on all, select users or at the per-user level based on sign-in conditions and risk factors.

  • Autenticazione senza password: sono disponibili tre opzioni di autenticazione senza password: Windows Hello for Business, l'app Microsoft Authenticator e i metodi di autenticazione locali come le smart card.Passwordless authentication – Three passwordless authentication options are available: Windows Hello for Business, Microsoft Authenticator app, and on-premises authentication methods such as smart cards.

Desktop virtuale Windows supporta l'autenticazione Legacy basata su password, ad esempio account solo cloud (account utente creati direttamente in Azure) che dispongono di criteri password di base o di account ibridi (account utente di Azure AD locali che seguono i criteri password locali).Windows Virtual Desktop supports legacy password-based authentication such as Cloud-only accounts (user accounts created directly in Azure) that have a baseline password policy or Hybrid accounts (user accounts from on-premise Azure AD which follow the on-premises password policies). Quando si usa l'autenticazione basata su password, Azure AD fornisce una funzionalità di protezione delle password che impedisce agli utenti di impostare password facili da indovinare.When using password-based authentication, Azure AD provides a password protection capability that prevents users to set passwords that are easy to guess. Microsoft offre un elenco globale delle password escluse che vengono aggiornate in base ai dati di telemetria e i clienti possono ampliare l'elenco in base alle esigenze, ad esempio personalizzazione, riferimenti culturali e così via.Microsoft provides a global list of banned passwords that is updated based on telemetry, and customers can augment the list based on their needs (such as branding, cultural references, and so on). Questa protezione con password può essere usata solo per gli account cloud e ibridi.This password protection can be used for cloud-only and hybrid accounts.

L'autenticazione basata solo sulle credenziali password è soggetta ai metodi di attacco più diffusi.Authentication based on password credentials alone is susceptible to popular attack methods. Per una maggiore sicurezza, utilizzare l'autenticazione avanzata, ad esempio l'autenticazione a più fattori e un criterio di password complessa.For higher security, use strong authentication such as multifactor authentication and a strong password policy. Per le applicazioni di terze parti e i servizi del Marketplace che possono avere password predefinite, è necessario modificarli durante l'installazione iniziale del servizio.For third-party applications and marketplace services which may have default passwords, you should change them upon the service initial setup.

Per gli amministratori e gli utenti con privilegi, assicurarsi che venga usato il livello più elevato di metodi di autenticazione avanzata, seguito dall'implementazione dei criteri di autenticazione avanzata appropriati ad altri utenti.For administrator and privileged users, ensure the highest level of strong authentication methods are used, followed by rolling out the appropriate strong authentication policy to other users.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IM-5: Monitorare e segnalare le anomalie degli accountIM-5: Monitor and alert on account anomalies

Linee guida: desktop virtuale di Windows è integrato con Azure Active Directory (Azure ad) che fornisce le origini dati seguenti:Guidance: Windows Virtual Desktop is integrated with Azure Active Directory (Azure AD) which provides the following data sources:

  • Accesso: il report di accesso fornisce informazioni sull'utilizzo delle applicazioni gestite e sulle attività di accesso degli utenti.Sign in - The sign-in report provides information about the usage of managed applications and user sign in activities.

  • Log di controllo: i log consentono la tracciabilità di tutte le modifiche apportate da varie funzionalità all'interno di Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.Examples of audit logs include changes made to any resources within Azure AD like adding or removing users, apps, groups, roles and policies.

  • Accesso rischioso: un accesso rischioso è un indicatore di un tentativo di accesso che potrebbe essere stato eseguito da un utente che non è il legittimo proprietario di un account utente.Risky sign in - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • Utenti contrassegnati per il rischio. Un utente rischioso è indicativo di un account utente che potrebbe essere stato compromesso.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Queste origini dati possono essere integrate con monitoraggio di Azure, Azure Sentinel o un sistema SIEM (Security Information and Event Management) di terze parti.These data sources can be integrated with Azure Monitor, Azure Sentinel or a third-party security information and event management (SIEM) systems. Il Centro sicurezza di Azure può anche inviare avvisi relativi a determinate attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti o la presenza di account deprecati nella sottoscrizione.Azure Security Center can also alert on certain suspicious activities such as excessive number of failed authentication attempts, deprecated accounts in the subscription. Azure Advanced Threat Protection (ATP) è una soluzione di sicurezza che può usare i segnali di Active Directory per identificare, rilevare ed esaminare minacce avanzate, identità compromesse e azioni di utenti interni malintenzionati.Azure Advanced Threat Protection (ATP) is a security solution that can use Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IM-6: Limitare l'accesso alle risorse di Azure in base alle condizioniIM-6: Restrict Azure resource access based on conditions

Linee guida: desktop virtuale Windows supporta l'accesso condizionale con Azure Active Directory (Azure ad) per un controllo di accesso granulare in base alle condizioni definite dall'utente.Guidance: Windows Virtual Desktop supports conditional access with Azure Active Directory (Azure AD) for a granular access-control based on user-defined conditions. Ad esempio, gli accessi utente da determinati intervalli IP potrebbero essere necessari per usare l'autenticazione a più fattori per l'accesso.For example, user logins from certain IP ranges could be required to use multifactor authentication for access.

Inoltre, i criteri di gestione delle sessioni di autenticazione granulari possono essere usati anche per diversi casi d'uso.Additionally, granular authentication session management policy can also be used for different use cases.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Accesso con privilegiPrivileged Access

Per altre informazioni, vedere Azure Security Benchmark: Accesso con privilegi.For more information, see the Azure Security Benchmark: Privileged Access.

PA-2: Limitare l'accesso amministrativo ai sistemi business-criticalPA-2: Restrict administrative access to business-critical systems

Indicazioni: desktop virtuale Windows usa il controllo degli accessi in base al ruolo di Azure per isolare l'accesso ai sistemi aziendali critici.Guidance: Windows Virtual Desktop uses Azure role-based access-control (Azure RBAC) to isolate access to business-critical systems. Assicurarsi di limitare anche l'accesso ai sistemi di gestione, identità e sicurezza che dispongono di accesso amministrativo all'accesso critico per l'azienda, ad esempio controller di Dominio di Active Directory, strumenti di sicurezza e strumenti di gestione del sistema con agenti installati in sistemi aziendali critici.Ensure that you also restrict access to the management, identity, and security systems that have administrative access to your business critical access such as Active Directory Domain Controllers, security tools, and system management tools with agents installed on business-critical systems. Gli utenti malintenzionati che compromettono questi sistemi di gestione e sicurezza possono potenzialmente weaponizerli immediatamente per compromettere asset aziendali critici.Attackers who compromise these management and security systems can potentially immediately weaponize them to compromise business critical assets.

Tutti i tipi di controlli di accesso devono essere allineati alla strategia di segmentazione aziendale per garantire un controllo di accesso coerente.All types of access controls should be aligned to your enterprise segmentation strategy to ensure consistent access control.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

PA-3: Esaminare e riconciliare regolarmente gli accessi utentePA-3: Review and reconcile user access regularly

Linee guida: desktop virtuale di Windows usa gli account di Azure Active Directory (Azure ad) per gestire le risorse, verificare gli account utente e l'assegnazione di accesso regolarmente per assicurarsi che gli account e il loro accesso siano validi.Guidance: Windows Virtual Desktop uses Azure Active Directory (Azure AD) accounts to manage its resources, review user accounts and access assignment regularly to ensure the accounts and their access are valid.

Usare le verifiche di accesso di Azure AD per verificare l'appartenenza a gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo.Use Azure AD access reviews to review group memberships, access to enterprise applications, and role assignments. Azure AD Reporting può fornire log che consentono di individuare gli account obsoleti.Azure AD reporting can provide logs to help discover stale accounts.

Inoltre, Azure Privileged Identity Management può anche essere configurato in modo da avvisare quando viene creato un numero eccessivo di account amministratore e identificare gli account amministratore non aggiornati o non configurati correttamente.In addition, Azure Privileged Identity Management can also be configured to alert when an excessive number of administrator accounts are created, and to identify administrator accounts that are stale or improperly configured.

Alcuni servizi di Azure supportano utenti e ruoli locali che non sono gestiti tramite Azure AD.Some Azure services support local users and roles which not managed through Azure AD. Sarà necessario gestire questi utenti separatamente.You will need to manage these users separately.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

PA-4: Configurare l'accesso di emergenza in Azure ADPA-4: Set up emergency access in Azure AD

Indicazioni: desktop virtuale di Windows usa Azure Active Directory (Azure ad) per gestire le proprie risorse.Guidance: Windows Virtual Desktop uses Azure Active Directory (Azure AD) to manage its resources. Per evitare che vengano accidentalmente bloccati dall'organizzazione Azure AD, configurare un account di accesso di emergenza per l'accesso quando non è possibile usare gli account amministrativi normali.To prevent being accidentally locked out of your Azure AD organization, set up an emergency access account for access when normal administrative accounts cannot be used. Gli account di accesso di emergenza sono in genere account con privilegi elevati e non devono essere assegnati a utenti specifici.Emergency access accounts are usually highly privileged, and they should not be assigned to specific individuals. Gli account di accesso di emergenza sono limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi.Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used.

È necessario assicurarsi che le credenziali (ad esempio password, certificato o smart card) per gli account di accesso di emergenza vengano conservate in modo sicuro e siano note solo a utenti autorizzati a usarle solo in caso di emergenza.You should ensure that the credentials (such as password, certificate, or smart card) for emergency access accounts are kept secure and known only to individuals who are authorized to use them only in an emergency.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

PA-5: automatizzare la gestione dei dirittiPA-5: Automate entitlement management

Linee guida: desktop virtuale di Windows è integrato con Azure Active Directory (Azure ad) per gestire le proprie risorse.Guidance: Windows Virtual Desktop is integrated with Azure Active Directory (Azure AD) to manage its resources. Usare le funzionalità di gestione dei diritti Azure AD per automatizzare i flussi di lavoro delle richieste di accesso, incluse le assegnazioni di accesso, le revisioni e le scadenze.Use Azure AD entitlement management features to automate access request workflows, including access assignments, reviews, and expirations. In altre, sono supportate anche le approvazioni duali o in più fasi.In additional, dual or multi-stage approvals are also supported.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

PA-6: Usare le workstation con accesso con privilegiPA-6: Use privileged access workstations

Linee guida: le workstation protette e isolate sono di importanza fondamentale per la sicurezza dei ruoli sensibili, ad esempio, amministratori, sviluppatori e operatori di servizi critici.Guidance: Secured and isolated workstations are critically important for the security of sensitive roles, such as, administrators, developers, and critical service operators. Usare workstation utente altamente sicure e/o un bastione di Azure per le attività amministrative.Use highly secured user workstations and/or Azure Bastion for administrative tasks.

Usare Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) o Microsoft Intune per distribuire una workstation utente protetta e gestita per le attività amministrative.Use Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP), or Microsoft Intune to deploy a secure and managed user workstation for administrative tasks. La workstation protetta può essere gestita centralmente per applicare la configurazione protetta, tra cui l'autenticazione avanzata, le linee di base software e hardware, l'accesso logico e di rete limitato.The secured workstation can be centrally managed to enforce secured configuration including strong authentication, software and hardware baselines, restricted logical and network access.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

7. Applicare all'amministrazione il principio dei privilegi minimiPA-7: Follow just enough administration (least privilege principle)

Indicazioni: desktop virtuale di Windows è integrato con il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) per gestire le proprie risorse.Guidance: Windows Virtual Desktop is integrated with Azure role-based access-control (Azure RBAC) to manage its resources. Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso alle risorse di Azure tramite le assegnazioni di ruoli.Azure RBAC allows you to manage Azure resource access through role assignments. È possibile assegnare questi ruoli a utenti, gruppi di entità servizio e identità gestite.You can assign these roles to users, groups service principals and managed identities. Per alcune risorse sono disponibili ruoli predefiniti, che possono essere inventariati o sottoposti a query tramite strumenti come l'interfaccia della riga di comando di Azure, Azure PowerShell o il portale di Azure.There are pre-defined built-in roles for certain resources, and these roles can be inventoried or queried through tools such as Azure CLI, Azure PowerShell or the Azure portal.

I privilegi assegnati alle risorse con il controllo degli accessi in base al ruolo di Azure devono essere sempre limitati a quelli richiesti dai ruoli.The privileges you assign to resources with Azure RBAC should always be limited to the ones as required by the roles. Questo complemento è l'approccio JIT (just-in-Time) di Privileged Identity Management (PIM) con Azure Active Directory (Azure AD) e deve essere esaminato periodicamente.This complements the just in time (JIT) approach of Privileged Identity Management (PIM), with Azure Active Directory (Azure AD), and should be reviewed periodically.

Inoltre, è possibile utilizzare ruoli predefiniti per allocare le autorizzazioni e creare ruoli personalizzati solo quando necessario.Additionally, use built-in roles to allocate permissions and only create custom roles when required.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

PA-8: scegliere il processo di approvazione per il supporto tecnico MicrosoftPA-8: Choose approval process for Microsoft support

Linee guida: in scenari di supporto in cui Microsoft deve accedere ai dati dei clienti, desktop virtuale Windows supporta Customer Lockbox per fornire un'interfaccia per esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti.Guidance: In support scenarios where Microsoft needs to access customer data, Windows Virtual Desktop supports Customer Lockbox to provide an interface for you to review and approve or reject customer data access requests.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CondivisoResponsibility: Shared

Protezione dei datiData Protection

Per altre informazioni, vedere Azure Security Benchmark: Protezione dei dati.For more information, see the Azure Security Benchmark: Data Protection.

DP-1: Individuare, classificare e assegnare un'etichetta ai dati sensibiliDP-1: Discovery, classify and label sensitive data

Linee guida: individuare, classificare e assegnare etichette ai dati sensibili in modo da poter progettare i controlli appropriati.Guidance: Discover, classify, and label your sensitive data so that you can design the appropriate controls. In questo modo, le informazioni riservate vengono archiviate, elaborate e trasmesse in modo sicuro dai sistemi tecnologici dell'organizzazione.This is to ensure sensitive information is stored, processed, and transmitted securely by the organization's technology systems.

Usare Azure Information Protection (e lo strumento di analisi associato) per informazioni riservate nei documenti di Office in Azure, in locale, Office 365 e in altri percorsi.Use Azure Information Protection (and its associated scanning tool) for sensitive information within Office documents on Azure, on-premises, Office 365 and other locations.

È possibile usare Azure SQL Information Protection per semplificare la classificazione e l'assegnazione di etichette alle informazioni archiviate nei database SQL di Azure.You can use Azure SQL Information Protection to assist in the classification and labeling of information stored in Azure SQL Databases.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

DP-2: Proteggere i dati sensibiliDP-2: Protect sensitive data

Linee guida: proteggere i dati sensibili limitando l'accesso tramite il controllo degli accessi in base al ruolo di Azure (RBAC di Azure), i controlli di accesso basati sulla rete e controlli specifici nei servizi di Azure, ad esempio la crittografia in SQL e altri database.Guidance: Protect sensitive data by restricting access using Azure Role Based Access Control (Azure RBAC), network-based access controls, and specific controls in Azure services (such as encryption in SQL and other databases).

Per garantire un controllo di accesso coerente, tutti i tipi di controllo di accesso devono essere in linea con la strategia di segmentazione aziendale.To ensure consistent access control, all types of access control should be aligned to your enterprise segmentation strategy. Questa strategia deve inoltre tenere conto della posizione dei dati e dei sistemi sensibili o business critical.The enterprise segmentation strategy should also be informed by the location of sensitive or business critical data and systems.

Microsoft considera tutti i contenuti del cliente come sensibili e protegge dalla perdita di dati e dall'esposizione dei clienti.Microsoft treats all customer content as sensitive and guards against customer data loss and exposure. Per garantire che i dati dei clienti in Azure rimangano protetti, Microsoft ha implementato alcuni controlli e funzionalità predefiniti per la protezione dei dati.To ensure customer data within Azure remains secure, Microsoft has implemented some default data protection controls and capabilities.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

3. Rilevare il trasferimento non autorizzato di dati sensibiliDP-3: Monitor for unauthorized transfer of sensitive data

Indicazioni: eseguire un monitoraggio per rilevare trasferimenti non autorizzati dei dati in posizioni al di fuori della visibilità e del controllo aziendali.Guidance: Monitor for unauthorized transfer of data to locations outside of enterprise visibility and control. Ciò comporta in genere il monitoraggio di attività anomale (trasferimenti insoliti o di grandi quantità di dati) che potrebbero indicare un'esfiltrazione di dati non autorizzata.This typically involves monitoring for anomalous activities (large or unusual transfers) that could indicate unauthorized data exfiltration.

Le funzionalità di Advanced Threat Protection (ATP) con archiviazione di Azure e Azure SQL ATP possono avvertire un trasferimento anomalo delle informazioni, indicando che cosa potrebbero essere trasferimenti non autorizzati di informazioni riservate.Advanced Threat Protection (ATP) features with both Azure Storage and Azure SQL ATP can alert on anomalous transfer of information, indicating what might be unauthorized transfers of sensitive information.

Azure Information Protection (AIP) fornisce funzionalità di monitoraggio delle informazioni classificate ed etichettate.Azure Information protection (AIP) provides monitoring capabilities for information that has been classified and labeled.

Usare soluzioni di prevenzione della perdita dei dati, ad esempio quelle basate su host, per applicare controlli detective e/o preventive per impedire i dati exfiltration.Use data loss prevention solutions, such as the host-based ones, to enforce detective and/or preventative controls to prevent data exfiltration.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Asset Management (Gestione degli asset)Asset Management

Per altre informazioni, vedere Azure Security Benchmark: Gestione delle risorse.For more information, see the Azure Security Benchmark: Asset Management.

1. Garantire al team responsabile della sicurezza la visibilità sui rischi per le risorseAM-1: Ensure security team has visibility into risks for assets

Indicazioni: assicurarsi che i team responsabili della sicurezza dispongano delle autorizzazioni di lettura per la sicurezza nel tenant e nelle sottoscrizioni di Azure, in modo che possano monitorare i rischi per la sicurezza tramite il Centro sicurezza di Azure.Guidance: Ensure security teams are granted Security Reader permissions in your Azure tenant and subscriptions so they can monitor for security risks using Azure Security Center.

A seconda del modo in cui sono strutturate le responsabilità del team di sicurezza, il monitoraggio dei rischi per la sicurezza può essere responsabile di un team di sicurezza centrale o di un team locale.Depending on how security team responsibilities are structured, monitoring for security risks could be the responsibility of a central security team or a local team. Fatta questa premessa, le informazioni e i rischi per la sicurezza devono sempre essere aggregati in una posizione centralizzata all'interno di un'organizzazione.That said, security insights and risks must always be aggregated centrally within an organization.

Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.Security Reader permissions can be applied broadly to an entire tenant (Root Management Group) or scoped to management groups or specific subscriptions.

Potrebbero essere necessarie autorizzazioni aggiuntive per la visibilità in carichi di lavoro e servizi.Additional permissions might be required for visibility into workloads and services.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

AM-2: Assicurarsi che il team di sicurezza abbia accesso all'inventario degli asset e ai metadatiAM-2: Ensure security team has access to asset inventory and metadata

Linee guida: applicare tag alle risorse, ai gruppi di risorse e alle sottoscrizioni di Azure per organizzarle in modo logico in una tassonomia.Guidance: Apply tags to your Azure resources, resource groups, and subscriptions to logically organize them into a taxonomy. Ogni tag è costituito da una coppia di nome e valore.Each tag consists of a name and a value pair. Ad esempio, è possibile applicare il nome "Environment" e il valore "Production" a tutte le risorse nell'ambiente di produzione.For example, you can apply the name "Environment" and the value "Production" to all the resources in production.

Usare l'inventario delle macchine virtuali di Azure per automatizzare la raccolta di informazioni sul software nelle macchine virtuali.Use Azure Virtual Machine Inventory to automate the collection of information about software on Virtual Machines. Il nome del software, la versione, il server di pubblicazione e l'ora di aggiornamento sono disponibili dal portale di Azure.Software Name, Version, publisher, and Refresh time are available from the Azure portal. Per ottenere l'accesso alla data di installazione e ad altre informazioni, abilitare la diagnostica a livello di Guest e portare i registri eventi di Windows in un'area di lavoro Log Analytics.To get access to install date and other information, enable guest-level diagnostics and bring the Windows Event Logs into a Log Analytics Workspace.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

AM-3: Usare solo i servizi di Azure approvatiAM-3: Use only approved Azure services

Linee guida: usare criteri di Azure per controllare e limitare i servizi di cui gli utenti possono eseguire il provisioning nell'ambiente.Guidance: Use Azure Policy to audit and restrict which services users can provision in your environment. Usare Azure Resource Graph per eseguire query e individuare le risorse all'interno delle sottoscrizioni.Use Azure Resource Graph to query for and discover resources within their subscriptions. È anche possibile usare Monitoraggio di Azure per creare regole per attivare gli avvisi quando viene rilevato un servizio non approvato.You can also use Azure Monitor to create rules to trigger alerts when a non-approved service is detected.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

4. Garantire la sicurezza della gestione del ciclo di vita delle risorseAM-4: Ensure security of asset lifecycle management

Indicazioni: Non applicabile.Guidance: Not applicable. Non è possibile usare desktop virtuale Windows per garantire la sicurezza degli asset in un processo di gestione del ciclo di vita.Windows Virtual Desktop cannot be used for ensuring security of assets in a lifecycle management process. È responsabilità del cliente mantenere gli attributi e le configurazioni di rete degli asset considerati a elevato effetto.It is the customer's responsibility to maintain attributes and network configurations of assets which are considered high-impact.

È consigliabile che il cliente crei un processo per acquisire l'attributo e le modifiche alla configurazione di rete, misuri l'effetto di modifica e crea le attività di correzione, come applicabile.It is recommended that the customer create a process to capture the attribute and network-configuration changes, measure the change-impact and create remediation tasks, as applicable.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

AM-5: limitare la capacità degli utenti di interagire con Azure Resource ManagerAM-5: Limit users' ability to interact with Azure Resource Manager

Linee guida: usare l'accesso condizionale di Azure per limitare la capacità degli utenti di interagire con gestione risorse di Azure configurando "blocca l'accesso" per l'app "gestione Microsoft Azure".Guidance: Use Azure Conditional Access to limit users' ability to interact with Azure Resources Manager by configuring "Block access" for the "Microsoft Azure Management" App.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

AM-6: usare solo le applicazioni approvate nelle risorse di calcoloAM-6: Use only approved applications in compute resources

Indicazioni: usare l'inventario delle macchine virtuali di Azure per automatizzare la raccolta di informazioni su tutto il software nelle macchine virtuali.Guidance: Use Azure virtual machine Inventory to automate the collection of information about all software on virtual machines. Il nome del software, la versione, il server di pubblicazione e l'ora di aggiornamento sono disponibili dal portale di Azure.Software Name, Version, Publisher, and Refresh time are available from the Azure portal. Per ottenere l'accesso alla data di installazione e ad altre informazioni, abilitare la diagnostica a livello di Guest e portare i registri eventi di Windows in un'area di lavoro Log Analytics.To get access to install date and other information, enable guest-level diagnostics and bring the Windows Event Logs into a Log Analytics Workspace.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Registrazione e rilevamento delle minacceLogging and Threat Detection

Per altre informazioni, vedere Azure Security Benchmark: Registrazione e rilevamento delle minacce.For more information, see the Azure Security Benchmark: Logging and Threat Detection.

LT-1: abilitazione del rilevamento delle minacce per le risorse di AzureLT-1: Enable threat detection for Azure resources

Linee guida: usare la funzionalità di rilevamento delle minacce incorporata nel centro sicurezza di Azure e abilitare Azure Defender (formalmente Azure Advanced Threat Protection) per le risorse del desktop virtuale di Windows.Guidance: Use the Azure Security Center built-in threat detection capability and enable Azure Defender (Formally Azure Advanced Threat Protection) for your Windows Virtual Desktop resources. Azure Defender per desktop virtuale di Windows offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento delle risorse di desktop virtuali Windows.Azure Defender for Windows Virtual Desktop provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit your Windows Virtual Desktop resources.

Inviare i log da desktop virtuale Windows alla soluzione SIEM (Security Information Event Management) che può essere usata per configurare il rilevamento delle minacce personalizzato.Forward any logs from Windows Virtual Desktop to your security information event management (SIEM) solution which can be used to set up custom threat detections. Assicurarsi di monitorare diversi tipi di risorse di Azure per potenziali minacce e anomalie.Ensure you are monitoring different types of Azure assets for potential threats and anomalies. Concentrati su come ottenere avvisi di alta qualità per ridurre i falsi positivi per gli analisti.Focus on getting high-quality alerts to reduce false positives for analysts to sort through. Gli avvisi possono essere originati da dati di log, agenti o altri dati.Alerts can be sourced from log data, agents, or other data.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi di AzureLT-2: Enable threat detection for Azure identity and access management

Materiale sussidiario : Azure Active Directory(Azure ad) fornisce i log utente seguenti che possono essere visualizzati in Azure ad Reporting o integrati con monitoraggio di Azure, Azure Sentinel o altri strumenti di gestione di informazioni ed eventi di sicurezza (Siem) o strumenti di monitoraggio per i casi d'uso avanzati di monitoraggio e analisi:Guidance: Azure Active Directory (Azure AD) provides the following user logs that can be viewed in Azure AD reporting or integrated with Azure Monitor, Azure Sentinel or other security information and event management (SIEM) or monitoring tools for further sophisticated monitoring and analytics use cases:

  • Accesso: il report di accesso fornisce informazioni sull'utilizzo delle applicazioni gestite e delle attività di accesso degli utenti.Sign-in – The sign-in report provides information about the usage of managed applications and user sign-in activities.

  • Log di controllo: i log consentono la tracciabilità di tutte le modifiche apportate da varie funzionalità all'interno di Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.Examples of audit logs include changes made to any resources within Azure AD like adding or removing users, apps, groups, roles and policies.

  • Accesso rischioso: un accesso rischioso è un indicatore di un tentativo di accesso che potrebbe essere stato eseguito da un utente che non è il legittimo proprietario di un account utente.Risky sign-in - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • Utenti contrassegnati per il rischio. Un utente rischioso è indicativo di un account utente che potrebbe essere stato compromesso.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Il Centro sicurezza di Azure può anche inviare avvisi su determinate attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti e account deprecati nella sottoscrizione.Azure Security Center can also alert on certain suspicious activities such as excessive number of failed authentication attempts and deprecated accounts in the subscription. Oltre al monitoraggio dell'igiene di base per la sicurezza, il modulo di protezione dalle minacce nel centro sicurezza di Azure può anche raccogliere avvisi di sicurezza più approfonditi dalle singole risorse di calcolo di Azure (macchine virtuali, contenitori, servizio app), risorse dati (database SQL e archiviazione) e livelli di servizio di Azure.In addition to the basic security hygiene monitoring, the Threat Protection module in Azure Security Center can also collect more in-depth security alerts from individual Azure compute resources (virtual machines, containers, app service), data resources (SQL DB and storage), and Azure service layers. Questa funzionalità consente di ottenere visibilità sulle anomalie dell'account all'interno delle singole risorse.This capability allows you to have visibility on account anomalies inside the individual resources.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

LT-3: Abilitare la registrazione per le attività di rete di AzureLT-3: Enable logging for Azure network activities

Linee guida: desktop virtuale di Windows non produce né elabora i log di query DNS (Domain Name Service).Guidance: Windows Virtual Desktop does not produce or process domain name service (DNS) query logs. Tuttavia, le risorse registrate per il servizio possono produrre log dei flussi.However resources that are registered to the service can produce flow logs.

Abilitare e raccogliere i log di risorse e di flusso del gruppo di sicurezza di rete, i log del firewall di Azure e i log del Web Application Firewall (WAF) per l'analisi della sicurezza per supportare le indagini sugli incidenti, la ricerca di minacce e la generazione diEnable and collect network security group resource and flow logs, Azure Firewall logs and Web Application Firewall (WAF) logs for security analysis to support incident investigations, threat hunting, and security alert generation. È possibile inviare i log di flusso a un'area di lavoro di monitoraggio di Azure Log Analytics e quindi usare Analisi del traffico per fornire informazioni dettagliate.You can send the flow logs to an Azure Monitor Log Analytics workspace and then use Traffic Analytics to provide insights.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

LT-4: Abilitare la registrazione per le risorse di AzureLT-4: Enable logging for Azure resources

Linee guida: i log attività, che vengono abilitati automaticamente, contengono tutte le operazioni di scrittura (Put, post, Delete) per le risorse del desktop virtuale di Windows, ad eccezione delle operazioni di lettura (Get).Guidance: Activity logs, which are automatically enabled, contain all write operations (PUT, POST, DELETE) for your Windows Virtual Desktop resources except read operations (GET). È possibile usare i log attività per trovare un errore durante la risoluzione dei problemi o per monitorare il modo in cui un utente dell'organizzazione ha modificato una risorsa.Activity logs can be used to find an error when troubleshooting or to monitor how a user in your organization modified a resource.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CondivisoResponsibility: Shared

LT-5: Centralizzare la gestione e l'analisi dei log di sicurezzaLT-5: Centralize security log management and analysis

Linee guida: centralizzare l'archiviazione e l'analisi di registrazione per abilitare la correlazione.Guidance: Centralize logging storage and analysis to enable correlation. Per ogni origine di log, verificare di avere assegnato un proprietario di dati, le linee guida per l'accesso, il percorso di archiviazione, gli strumenti usati per elaborare e accedere ai dati e i requisiti di conservazione dei dati.For each log source, ensure you have assigned a data owner, access guidance, storage location, the tools used to process and access the data, and data retention requirements.

Assicurarsi di integrare i log attività di Azure nella registrazione centrale.Ensure you are integrating Azure activity logs into your central logging. Inserire i log tramite monitoraggio di Azure per aggregare i dati di sicurezza generati dai dispositivi endpoint, le risorse di rete e altri sistemi di sicurezza.Ingest logs via Azure Monitor to aggregate security data generated by endpoint devices, network resources, and other security systems. In monitoraggio di Azure usare le aree di lavoro Log Analytics per eseguire query ed eseguire analisi e usare gli account di archiviazione di Azure per l'archiviazione a lungo termine e di archiviazione.In Azure Monitor, use Log Analytics workspaces to query and perform analytics, and use Azure Storage accounts for long term and archival storage.

Inoltre, abilitare e caricare i dati in Sentinel di Azure o in un sistema SIEM (Security Information Event Management) di terze parti.In addition, enable and onboard data to Azure Sentinel or a third-party security information event management (SIEM). Molte organizzazioni scelgono di usare Sentinel di Azure per i dati "attivi" usati di frequente e archiviazione di Azure per dati "a freddo" usati con minore frequenza.Many organizations choose to use Azure Sentinel for “hot” data that is used frequently and Azure Storage for “cold” data that is used less frequently.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Risposta agli eventi imprevistiIncident Response

Per altre informazioni, vedere Azure Security Benchmark: Risposta agli eventi imprevisti.For more information, see the Azure Security Benchmark: Incident Response.

IR-1: Preparazione: aggiornare il processo di risposta agli eventi imprevisti per AzureIR-1: Preparation – update incident response process for Azure

Linee guida: assicurarsi che l'organizzazione includa processi per rispondere agli eventi imprevisti della sicurezza, abbia aggiornato i processi per Azure e li esegua regolarmente per garantire l'idoneità.Guidance: Ensure your organization has processes to respond to security incidents, has updated these processes for Azure, and is regularly exercising them to ensure readiness.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

IR-2: Preparazione: configurare la notifica dell'evento imprevistoIR-2: Preparation – setup incident notification

Linee guida: configurare le informazioni di contatto per gli eventi imprevisti della sicurezza nel Centro sicurezza di Azure.Guidance: Set up security incident contact information in Azure Security Center. Le informazioni di contatto consentono a Microsoft di contattare l'utente se Microsoft Security Response Center (MSRC) rileva che è stato eseguito l'accesso ai dati da parte di utenti non autorizzati.This contact information is used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. Sono disponibili anche opzioni per personalizzare gli avvisi e le notifiche degli eventi imprevisti in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.You also have options to customize incident alert and notification in different Azure services based on your incident response needs.

Monitoraggio del Centro sicurezza di Azure: SìAzure Security Center monitoring: Yes

Responsabilità: CustomerResponsibility: Customer

IR-3: Rilevamento e analisi: creare eventi imprevisti basati su avvisi di alta qualitàIR-3: Detection and analysis – create incidents based on high quality alerts

Linee guida: assicurarsi di avere un processo per la creazione di avvisi di alta qualità e la misurazione della qualità degli avvisi.Guidance: Ensure you have a process to create high-quality alerts and measure the quality of alerts. Questo consente di apprendere dagli eventi imprevisti passati e di assegnare la priorità agli avvisi per gli analisti, in modo da non sprecare tempo su falsi positivi.This allows you to learn lessons from past incidents and prioritize alerts for analysts, so they don’t waste time on false positives.

Gli avvisi di alta qualità possono essere creati in base all'esperienza degli eventi imprevisti passati, a origini della community convalidate e a strumenti progettati per generare e pulire gli avvisi unendo e correlando diverse origini dei segnali.High-quality alerts can be built based on experience from past incidents, validated community sources, and tools designed to generate and clean up alerts by fusing and correlating diverse signal sources.

Il Centro sicurezza di Azure offre avvisi di alta qualità in molte risorse di Azure.Azure Security Center provides high-quality alerts across many Azure assets. È possibile usare il connettore dati del Centro sicurezza di Azure per trasmettere gli avvisi ad Azure Sentinel.You can use the ASC data connector to stream the alerts to Azure Sentinel. Azure Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'analisi.Azure Sentinel lets you create advanced alert rules to generate incidents automatically for an investigation.

Esportare gli avvisi e le raccomandazioni del Centro sicurezza di Azure usando la funzionalità di esportazione per contribuire a individuare i rischi per le risorse di Azure.Export your Azure Security Center alerts and recommendations using the export feature to help identify risks to Azure resources. È possibile esportare avvisi e raccomandazioni manualmente o in modo continuativo.Export alerts and recommendations either manually or in an ongoing, continuous fashion.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

4. Rilevamento e analisi: esaminare un evento imprevistoIR-4: Detection and analysis – investigate an incident

Indicazioni: assicurarsi che gli analisti possano eseguire query e usare origini dati diverse durante l'analisi di possibili eventi imprevisti, in modo da creare un quadro completo di ciò che è successo.Guidance: Ensure analysts can query and use diverse data sources as they investigate potential incidents, to build a full view of what happened. È necessario raccogliere vari log per tenere traccia delle attività di un possibile utente malintenzionato attraverso la kill chain per evitare punti ciechi.Diverse logs should be collected to track the activities of a potential attacker across the kill chain to avoid blind spots. Assicurarsi anche che le informazioni dettagliate e le nozioni apprese vengano acquisite per poter essere sfruttate da altri analisti e per riferimenti cronologici futuri.You should also ensure insights and learnings are captured for other analysts and for future historical reference.

Le origini dati per l'analisi includono le origini di registrazione centralizzate che sono già state raccolte dai servizi inclusi nell'ambito e dai sistemi in esecuzione, ma possono includere anche:The data sources for investigation include the centralized logging sources that are already being collected from the in-scope services and running systems, but can also include:

  • Dati di rete: usare i log dei flussi dei gruppi di sicurezza di rete, Azure Network Watcher e Monitoraggio di Azure per acquisire i log dei flussi di rete e altre informazioni di analisi.Network data – use network security groups' flow logs, Azure Network Watcher, and Azure Monitor to capture network flow logs and other analytics information.

  • Snapshot dei sistemi in esecuzione:Snapshots of running systems:

    • Usare la funzionalità snapshot macchina virtuale di Azure per creare uno snapshot del disco del sistema in esecuzione.Use Azure virtual machine's snapshot capability to create a snapshot of the running system's disk.

    • Usare la funzionalità di dump della memoria nativa del sistema operativo per creare uno snapshot della memoria del sistema in esecuzione.Use the operating system's native memory dump capability to create a snapshot of the running system's memory.

    • Usare la funzionalità snapshot dei servizi di Azure o la funzionalità del software in uso per creare snapshot dei sistemi in esecuzione.Use the snapshot feature of the Azure services or your software's own capability to create snapshots of the running systems.

Azure Sentinel fornisce analisi approfondite dei dati in qualsiasi origine di log e un portale di gestione dei casi per gestire l'intero ciclo di vita degli eventi imprevisti.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

IR-5: Rilevamento e analisi: assegnare la priorità agli eventi imprevistiIR-5: Detection and analysis – prioritize incidents

Indicazioni: fornire un contesto agli analisti per consentire loro di capire su quali eventi imprevisti concentrarsi per primi in base al livello di gravità dell'avviso e di sensibilità delle risorse.Guidance: Provide context to analysts on which incidents to focus on first based on alert severity and asset sensitivity.

il Centro sicurezza di Azure assegna un livello di gravità a ogni avviso per facilitare la classificazione in ordine di priorità in base agli avvisi che devono essere analizzati per primi.Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. La gravità è basata sul livello di attendibilità del Centro sicurezza nell'individuazione o sull'analisi utilizzata per emettere l'avviso, oltre che sul livello di confidenza che ha causato l'intento dannoso dietro l'attività che ha portato all'avviso.The severity is based on how confident Security Center is in the finding or the analytics used to issue the alert, as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Contrassegnare inoltre le risorse tramite tag e creare un sistema di denominazione per identificare e classificare le risorse di Azure, in particolare quelle che elaborano i dati sensibili.Additionally, mark resources using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. È responsabilità dell'utente classificare in ordine di priorità la correzione degli avvisi in base alla criticità delle risorse e dell'ambiente di Azure in cui si è verificato l'evento imprevisto.It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

IR-6: Contenimento, eliminazione e ripristino: automatizzare la gestione degli eventi imprevistiIR-6: Containment, eradication and recovery – automate the incident handling

Linee guida: automatizzare le attività ripetitive manuali per ridurre il tempo di risposta e il carico sugli analisti.Guidance: Automate manual repetitive tasks to speed up response time and reduce the burden on analysts. L'esecuzione delle attività manuali richiede più tempo, rallentando ogni evento imprevisto e riducendo il numero di eventi imprevisti che un analista può gestire.Manual tasks take longer to execute, slowing each incident and reducing how many incidents an analyst can handle. Le attività manuali rendono inoltre il lavoro degli analisti più faticoso, aumentando il rischio di errori umani che causano ritardi e compromettendo la capacità degli analisti di concentrarsi in modo efficace sulle attività complesse.Manual tasks also increase analyst fatigue, which increases the risk of human error that causes delays, and degrades the ability of analysts to focus effectively on complex tasks. Usare le funzionalità di automazione dei flussi di lavoro nel Centro sicurezza di Azure e in Azure Sentinel per attivare automaticamente le azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso.Use workflow automation features in Azure Security Center and Azure Sentinel to automatically trigger actions or run a playbook to respond to incoming security alerts. Il playbook esegue azioni come l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.The playbook takes actions, such as sending notifications, disabling accounts, and isolating problematic networks.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Gestione del comportamento e della vulnerabilitàPosture and Vulnerability Management

Per altre informazioni, vedere Azure Security Benchmark: Gestione del comportamento e della vulnerabilità.For more information, see the Azure Security Benchmark: Posture and Vulnerability Management.

PV-3: stabilire configurazioni sicure per le risorse di calcoloPV-3: Establish secure configurations for compute resources

Linee guida: usare il Centro sicurezza di Azure e i criteri di Azure per stabilire configurazioni sicure per tutte le risorse di calcolo, tra cui macchine virtuali, contenitori e altro.Guidance: Use Azure Security Center and Azure Policy to establish secure configurations on all compute resources including VMs, containers, and others.

È possibile usare immagini del sistema operativo personalizzate o la configurazione dello stato di automazione di Azure per stabilire la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.You can use custom operating system images or Azure Automation State configuration to establish the security configuration of the operating system required by your organization.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

PV-4: supportare le configurazioni sicure per le risorse di calcoloPV-4: Sustain secure configurations for compute resources

Linee guida: usare il Centro sicurezza di Azure e i criteri di Azure per valutare e correggere regolarmente i rischi di configurazione sulle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altro.Guidance: Use Azure Security Center and Azure Policy to regularly assess and remediate configuration risks on your Azure compute resources including virtual machines, containers, and others. Inoltre, è possibile usare modelli di Azure Resource Manager, immagini del sistema operativo personalizzate o la configurazione dello stato di automazione di Azure per mantenere la configurazione di sicurezza del sistema operativo richiesto dall'organizzazione.In addition, you may use Azure Resource Manager templates, custom operating system images or Azure Automation State Configuration to maintain the security configuration of the operating system required by your organization. I modelli di macchina virtuale Microsoft combinati con la configurazione dello stato di automazione di Azure possono contribuire alla riunione e alla gestione dei requisiti di sicurezza.The Microsoft virtual machine templates combined with the Azure Automation State Configuration may assist in meeting and maintaining the security requirements.

Le immagini di macchine virtuali di Azure Marketplace pubblicate da Microsoft vengono gestite e gestite da Microsoft.Azure Marketplace Virtual Machine Images published by Microsoft are managed and maintained by Microsoft.

Il Centro sicurezza di Azure può anche analizzare le vulnerabilità nell'immagine del contenitore ed eseguire il monitoraggio continuo della configurazione Docker in contenitori con il benchmark Docker di Center Internet Security.Azure Security Center can also scan vulnerabilities in container image and performs continuous monitoring of your Docker configuration in containers against Center Internet Security's Docker benchmark. È possibile usare la pagina raccomandazioni del Centro sicurezza di Azure per visualizzare le raccomandazioni e correggere i problemi.You can use the Azure Security Center recommendations page to view recommendations and remediate issues.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

PV-5: archiviare in modo sicuro immagini del sistema operativo e del contenitore personalizzatePV-5: Securely store custom operating system and container images

Indicazioni: desktop virtuale Windows consente ai clienti di gestire le immagini del sistema operativo.Guidance: Windows Virtual Desktop allows customers to manage operating system images. Usare il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) per garantire che solo gli utenti autorizzati possano accedere alle immagini personalizzate.Use Azure role-based access control (Azure RBAC) to ensure that only authorized users can access your custom images. Usare una raccolta di immagini condivise di Azure è possibile condividere le immagini a utenti diversi, entità servizio o gruppi di Active Directory all'interno dell'organizzazione.Use an Azure Shared Image Gallery you can share your images to different users, service principals, or Active Directory groups within your organization. Archiviare le immagini del contenitore in Azure Container Registry e usare il controllo degli accessi in base al ruolo per garantire l'accesso solo agli utenti autorizzatiStore container images in Azure Container Registry and use RBAC to ensure that only authorized users have access.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

PV-6: eseguire valutazioni delle vulnerabilità del softwarePV-6: Perform software vulnerability assessments

Linee guida: desktop virtuale Windows consente di distribuire le proprie macchine virtuali e di registrarle nel servizio, oltre a disporre di un database SQL in esecuzione nell'ambiente.Guidance: Windows Virtual Desktop allows you to deploy your own virtual machines and register them to the service as well as have SQL database running in the environment.

Desktop virtuale Windows può utilizzare una soluzione di terze parti per l'esecuzione di valutazioni delle vulnerabilità su dispositivi di rete e applicazioni Web.Windows Virtual Desktop can use a third-party solution for performing vulnerability assessments on network devices and web applications. Quando si eseguono scansioni remote, non usare un singolo account amministrativo perpetuo.When conducting remote scans, do not use a single, perpetual, administrative account. Si consiglia di implementare la metodologia di provisioning JIT per l'account di analisi.Consider implementing JIT provisioning methodology for the scan account. Le credenziali per l'account di analisi devono essere protette, monitorate e utilizzate solo per l'analisi delle vulnerabilità.Credentials for the scan account should be protected, monitored, and used only for vulnerability scanning.

Come richiesto, esportare i risultati dell'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che le vulnerabilità siano state corrette.As require, export scan results at consistent intervals and compare the results with previous scans to verify that vulnerabilities have been remediated.

Seguire le raccomandazioni del Centro sicurezza di Azure per l'esecuzione di valutazioni delle vulnerabilità nelle macchine virtuali di Azure e in SQL Server.Follow recommendations from Azure Security Center for performing vulnerability assessments on your Azure virtual machines (and SQL servers). Il Centro sicurezza di Azure offre uno scanner di vulnerabilità incorporato per la macchina virtuale, le immagini del contenitore e il database SQL.Azure Security Center has a built-in vulnerability scanner for virtual machine, container images, and SQL database.

Se necessario, esportare l'analisi a intervalli coerenti e confrontare i risultati con le analisi precedenti per verificare che le vulnerabilità siano state corrette.As required, export scan results at consistent intervals and compare the results with previous scans to verify that vulnerabilities have been remediated. Quando si usano le raccomandazioni sulla gestione delle vulnerabilità suggerite dal centro sicurezza di Azure, è possibile passare al portale della soluzione selezionata per visualizzare i dati cronologici dell'analisi.When using vulnerability management recommendations suggested by Azure Security Center, you can pivot into the selected solution's portal to view historical scan data.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

7. Correggere le vulnerabilità del software in modo rapido e automaticoPV-7: Rapidly and automatically remediate software vulnerabilities

Linee guida: desktop virtuale Windows non USA o richiede software di terze parti.Guidance: Windows Virtual Desktop doesn't use or require any third-party software. Tuttavia, desktop virtuale Windows consente di distribuire le proprie macchine virtuali e di registrarle nel servizio.However, Windows Virtual Desktop allows you to deploy your own virtual machines and register them to the service.

Usare Gestione aggiornamenti di automazione di Azure o una soluzione di terze parti per assicurarsi che gli aggiornamenti della sicurezza più recenti siano installati nelle macchine virtuali Windows Server.Use Azure Automation Update Management or a third-party solution to ensure that the most recent security updates are installed on your Windows Server virtual machines. Per le macchine virtuali Windows, verificare che Windows Update sia stato abilitato e impostato per l'aggiornamento automatico.For Windows virtual machines, ensure Windows Update has been enabled and set to update automatically.

Usare una soluzione di gestione delle patch di terze parti per il software di terze parti o System Center Updates Publisher per Configuration Manager.Use a third-party patch management solution for third-party software or System Center Updates Publisher for Configuration Manager.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

PV-8: Eseguire una simulazione di attacco regolarePV-8: Conduct regular attack simulation

Indicazioni: desktop virtuale di Windows non consente ai clienti di eseguire i propri test di penetrazione sulle risorse del desktop virtuale di Windows.Guidance: Windows Virtual Desktop does not allow customers to perform their own penetration testing on their Windows Virtual Desktop resources.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CondivisoResponsibility: Shared

Sicurezza degli endpointEndpoint Security

Per altre informazioni, vedere benchmark di sicurezza di Azure: Endpoint Security.For more information, see the Azure Security Benchmark: Endpoint Security.

ES-1: usare il rilevamento e la risposta degli endpoint (EDR)ES-1: Use Endpoint Detection and Response (EDR)

Linee guida: desktop virtuale Windows non fornisce funzionalità specifiche per i processi di rilevamento e risposta degli endpoint.Guidance: Windows Virtual Desktop does not provide any specific capabilities for endpoint detection and response (EDR) processes. Tuttavia, le risorse registrate per il servizio possono trarre vantaggio dalle funzionalità di rilevamento e risposta degli endpoint.However resources registered to the service can benefit from endpoint detection and response capabilities.

Abilitare le funzionalità di rilevamento e risposta degli endpoint per server e client e integrarle con le soluzioni di sicurezza e gestione degli eventi e i processi di sicurezza.Enable endpoint detection and response capabilities for servers and clients and integrate them with security information and event management (SIEM) solutions and Security Operations processes.

Advanced Threat Protection di Microsoft Defender fornisce funzionalità di rilevamento e risposta degli endpoint, come parte di una piattaforma di sicurezza degli endpoint aziendali per prevenire, rilevare, analizzare e rispondere a minacce avanzate.Advanced Threat Protection from Microsoft Defender provides Endpoint Detection and Response capabilities, as part of an enterprise endpoint security platform to prevent, detect, investigate, and respond to advanced threats.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

ES-2: utilizzo del software antimalware moderno gestito centralmenteES-2: Use centrally managed modern anti-malware software

Linee guida: Proteggi le tue risorse di desktop virtuali Windows con una soluzione antimalware moderna e gestita a livello centrale in grado di analizzare in tempo reale e periodico.Guidance: Protect your Windows Virtual Desktop resources with a centrally managed and modern endpoint anti-malware solution capable of real time and periodic scanning.

Il Centro sicurezza di Azure può identificare automaticamente l'uso di una serie di soluzioni antimalware comuni per le macchine virtuali e segnalare lo stato di esecuzione di Endpoint Protection e creare raccomandazioni.Azure Security Center can automatically identify the use of a number of popular anti-malware solutions for your virtual machines and report the endpoint protection running status and make recommendations.

Microsoft antimalware per servizi cloud di Azure è l'anti-malware predefinito per le macchine virtuali (VM) Windows.Microsoft Antimalware for Azure Cloud Services is the default anti-malware for Windows virtual machines (VMs). È anche possibile usare il rilevamento delle minacce con il Centro sicurezza di Azure per i servizi dati per rilevare il malware caricato negli account di archiviazione di Azure.Also, you can use Threat detection with Azure Security Center for data services to detect malware uploaded to Azure Storage accounts.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

ES-3: assicurarsi che il software e le firme anti-malware siano aggiornatiES-3: Ensure anti-malware software and signatures are updated

Linee guida: assicurarsi che le firme anti-malware vengano aggiornate in modo rapido e coerente.Guidance: Ensure anti-malware signatures are updated rapidly and consistently.

Seguire le raccomandazioni nel centro sicurezza di Azure: " & app di calcolo" per assicurarsi che tutte le macchine virtuali e/o i contenitori siano aggiornati con le firme più recenti.Follow recommendations in Azure Security Center: "Compute & Apps" to ensure all virtual machines and/or containers are up to date with the latest signatures.

Per impostazione predefinita, Microsoft antimalware installerà automaticamente le firme e gli aggiornamenti del motore più recenti.Microsoft Antimalware will automatically install the latest signatures and engine updates by default.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Backup e ripristinoBackup and Recovery

Per altre informazioni, vedere Azure Security Benchmark: Backup e ripristino.For more information, see the Azure Security Benchmark: Backup and Recovery.

BR-1: garantire backup automatici regolariBR-1: Ensure regular automated backups

Linee guida: assicurarsi di eseguire il backup dei sistemi e dei dati per mantenere la continuità aziendale dopo un evento imprevisto.Guidance: Ensure you are backing up systems and data to maintain business continuity after an unexpected event. Questo deve essere un materiale sussidiario per tutti gli obiettivi per l'obiettivo del punto di ripristino (RPO) e l'obiettivo del tempo di ripristino (RTO).This should be guidance by any objectives for Recovery Point Objective (RPO) and Recovery Time Objective (RTO).

Abilitare backup di Azure e configurare l'origine di backup, ad esempio macchine virtuali di Azure, SQL Server, database HANA o condivisioni file, nonché la frequenza e il periodo di memorizzazione desiderati.Enable Azure Backup and configure the backup source (e.g. Azure VMs, SQL Server, HANA databases, or File Shares), as well as the desired frequency and retention period.

Per un livello di ridondanza più elevato, è possibile abilitare l'opzione di archiviazione con ridondanza geografica per replicare i dati di backup in un'area secondaria e per eseguire il ripristino tramite il ripristino tra aree.For a higher level of redundancy, you can enable geo-redundant storage option to replicate backup data to a secondary region and recover using cross region restore.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

BR-2: crittografare i dati di backupBR-2: Encrypt backup data

Linee guida: assicurarsi che i backup siano protetti da attacchi.Guidance: Ensure your backups are protect against attacks. Questa operazione dovrebbe includere la crittografia dei backup per evitare la perdita di riservatezza.This should include encryption of the backups to protect against loss of confidentiality.

Per il backup regolare dei servizi di Azure, i dati di backup vengono crittografati automaticamente usando le chiavi gestite dalla piattaforma Azure.For regular Azure service backup, backup data is automatically encrypted using Azure platform-managed keys. È possibile scegliere di crittografare il backup usando la chiave gestita dal cliente.You can choose to encrypt the backup using customer-managed key. In questo caso, verificare che la chiave gestita dal cliente nell'insieme di credenziali delle chiavi sia presente anche nell'ambito di backup.In this case, ensure this customer-managed key in the key vault is also in the backup scope.

Usare il controllo degli accessi in base al ruolo in backup di Azure, Azure Key Vault o altre risorse per proteggere i backup e le chiavi gestite dal cliente.Use role-based access control in Azure Backup, Azure Key Vault, or other resources to protect backups and customer-managed keys. Inoltre, è possibile abilitare le funzionalità di sicurezza avanzate per richiedere l'autenticazione a più fattori prima che i backup possano essere modificati o eliminati.Additionally, you can enable advanced security features to require multifactor authentication before backups can be altered or deleted.

Panoramica delle funzionalità di sicurezza di backup di Azure/Azure/Backup/Security-OverviewOverview of security features in Azure Backup /azure/backup/security-overview

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

BR-3: Convalidare tutti i backup che includono chiavi gestite dal clienteBR-3: Validate all backups including customer-managed keys

Linee guida: si consiglia di convalidare l'integrità dei dati sui supporti di backup a intervalli regolari eseguendo un processo di ripristino dei dati per garantire che il backup funzioni correttamente.Guidance: It is recommended to validate data integrity on backup media on a regular basis by performing a data restoration process to ensure that the backup is properly working.

Monitoraggio del Centro sicurezza di Azure: attualmente non disponibileAzure Security Center monitoring: Currently not available

Responsabilità: CustomerResponsibility: Customer

Governance e strategiaGovernance and Strategy

Per altre informazioni, vedere Azure Security Benchmark: Governance e strategia.For more information, see the Azure Security Benchmark: Governance and Strategy.

GS-1: Definire la strategia di gestione degli asset e di protezione dei datiGS-1: Define asset management and data protection strategy

Linee guida: assicurarsi di documentare e comunicare una strategia chiara per il monitoraggio e la protezione continui dei sistemi e dei dati.Guidance: Ensure you document and communicate a clear strategy for continuous monitoring and protection of systems and data. Definire la priorità di individuazione, valutazione, protezione e monitoraggio dei dati e dei sistemi business-critical.Prioritize discovery, assessment, protection, and monitoring of business-critical data and systems.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:This strategy should include documented guidance, policy, and standards for the following elements:

  • Standard di classificazione dei dati in base ai rischi aziendaliData classification standard in accordance with the business risks

  • Visibilità dei rischi e dell'inventario degli asset dell'organizzazione della sicurezzaSecurity organization visibility into risks and asset inventory

  • Approvazione dell'organizzazione della sicurezza dei servizi di Azure da usareSecurity organization approval of Azure services for use

  • Sicurezza degli asset attraverso il ciclo di vitaSecurity of assets through their lifecycle

  • Strategia di controllo degli accessi conforme alla classificazione dei dati aziendaliRequired access control strategy in accordance with organizational data classification

  • Uso di funzionalità di protezione dei dati native di Azure e di terze partiUse of Azure native and third party data protection capabilities

  • Requisiti di crittografia dei dati per i casi d'uso di dati in transito e inattiviData encryption requirements for in-transit and at-rest use cases

  • Standard crittografici appropriatiAppropriate cryptographic standards

Per altre informazioni, vedere i riferimenti seguenti:For more information, see the following references:

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-2: Definire la strategia di segmentazione aziendaleGS-2: Define enterprise segmentation strategy

Linee guida: definire una strategia a livello aziendale per segmentare l'accesso agli asset tramite una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.Guidance: Establish an enterprise-wide strategy to segmenting access to assets using a combination of identity, network, application, subscription, management group, and other controls.

Bilanciare accuratamente la necessità di separazione di sicurezza con la necessità di abilitare le operazioni giornaliere dei sistemi che devono comunicare tra loro e accedere ai dati.Carefully balance the need for security separation with the need to enable daily operation of the systems that need to communicate with each other and access data.

Assicurarsi che la strategia di segmentazione venga implementata in modo coerente tra i tipi di controllo, inclusi i modelli di sicurezza di rete, identità e accesso e i modelli di accesso e autorizzazione dell'applicazione e i controlli dei processi umani.Ensure that the segmentation strategy is implemented consistently across control types including network security, identity and access models, and application permission/access models, and human process controls.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-3: Definire la strategia di gestione del comportamento di sicurezzaGS-3: Define security posture management strategy

Linee guida: misurare costantemente e attenuare i rischi per i singoli asset e per l'ambiente in cui sono ospitati.Guidance: Continuously measure and mitigate risks to your individual assets and the environment they are hosted in. Assegnare la priorità agli asset di valore elevato e alle superfici di attacco altamente esposte, ad esempio applicazioni pubblicate, punti di ingresso e di uscita della rete, endpoint utente e amministratore e così via.Prioritize high value assets and highly-exposed attack surfaces, such as published applications, network ingress and egress points, user and administrator endpoints, etc.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-4: Allineare i ruoli e le responsabilità dell'organizzazioneGS-4: Align organization roles, responsibilities, and accountabilities

Linee guida: assicurarsi di documentare e comunicare una strategia chiara per i ruoli e le responsabilità dell'organizzazione di sicurezza.Guidance: Ensure you document and communicate a clear strategy for roles and responsibilities in your security organization. Definire le priorità specificando una chiara responsabilità per le decisioni relative alla sicurezza, informare tutti gli utenti sul modello di responsabilità condivisa e informare i team tecnici sulla tecnologia per la protezione del cloud.Prioritize providing clear accountability for security decisions, educating everyone on the shared responsibility model, and educate technical teams on technology to secure the cloud.

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-5: Definire la strategia della sicurezza di reteGS-5: Define network security strategy

Linee guida: definire un approccio di sicurezza di rete di Azure come parte della strategia globale di controllo degli accessi di sicurezza dell'organizzazione.Guidance: Establish an Azure network security approach as part of your organization’s overall security access control strategy.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:This strategy should include documented guidance, policy, and standards for the following elements:

  • Gestione centralizzata della rete e responsabilità della sicurezzaCentralized network management and security responsibility

  • Modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendaleVirtual network segmentation model aligned with the enterprise segmentation strategy

  • Strategia di correzione in diversi scenari di minaccia e attaccoRemediation strategy in different threat and attack scenarios

  • Perimetro Internet e strategia di ingresso e uscitaInternet edge and ingress and egress strategy

  • Cloud ibrido e strategia di interconnettività localeHybrid cloud and on-premises interconnectivity strategy

  • Artefatti di rete aggiornati, ad esempio diagrammi di rete, architettura di rete di riferimentoUp-to-date network security artifacts (e.g. network diagrams, reference network architecture)

Per altre informazioni, vedere i riferimenti seguenti:For more information, see the following references:

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-6: Definire la strategia di identità e di accesso con privilegiGS-6: Define identity and privileged access strategy

Linee guida: definire gli approcci di identità e di accesso con privilegi di Azure come parte della strategia globale di controllo degli accessi di sicurezza dell'organizzazione.Guidance: Establish an Azure identity and privileged access approaches as part of your organization’s overall security access control strategy.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:This strategy should include documented guidance, policy, and standards for the following elements:

  • Sistema di identità e autenticazione centralizzato e interconnettività con altri sistemi di identità interni ed esterniA centralized identity and authentication system and its interconnectivity with other internal and external identity systems

  • Metodi di autenticazione avanzata in diversi casi d'uso e condizioniStrong authentication methods in different use cases and conditions

  • Protezione degli utenti con privilegi elevatiProtection of highly privileged users

  • Monitoraggio e gestione delle attività utente anomaleAnomaly user activities monitoring and handling

  • Verifica dell'identità e dell'accesso utente e processo di riconciliazioneUser identity and access review and reconciliation process

Per altre informazioni, vedere i riferimenti seguenti:For more information, see the following references:

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

GS-7: Definire la strategia di registrazione e di risposta alle minacceGS-7: Define logging and threat response strategy

Linee guida: definire una strategia di registrazione e di risposta alle minacce per rilevare e correggere rapidamente le minacce rispettando i requisiti di conformità.Guidance: Establish a logging and threat response strategy to rapidly detect and remediate threats while meeting compliance requirements. Definire le priorità offrendo agli analisti avvisi di alta qualità ed esperienze senza problemi, in modo che possano concentrarsi sulle minacce anziché sull'integrazione e sui passaggi manuali.Prioritize providing analysts with high-quality alerts and seamless experiences so that they can focus on threats rather than integration and manual steps.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:This strategy should include documented guidance, policy, and standards for the following elements:

  • Il ruolo e le responsabilità dell'organizzazione per le operazioni di sicurezza (SecOps)The security operations (SecOps) organization’s role and responsibilities

  • Un processo di risposta agli eventi imprevisti ben definito allineato a NIST o a un altro framework di settoreA well-defined incident response process aligning with NIST or another industry framework

  • Acquisizione e conservazione dei log per supportare il rilevamento delle minacce, la risposta agli eventi imprevisti e le esigenze di conformitàLog capture and retention to support threat detection, incident response, and compliance needs

  • Visibilità centralizzata e informazioni di correlazione su minacce, uso di SIEM, funzionalità native di Azure e altre originiCentralized visibility of and correlation information about threats, using SIEM, native Azure capabilities, and other sources

  • Piano di comunicazione e notifica con i clienti, i fornitori e le parti pubbliche di interesseCommunication and notification plan with your customers, suppliers, and public parties of interest

  • Uso di piattaforme native di Azure e di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, l'analisi e la correzione e l'eliminazione degli attacchiUse of Azure native and third-party platforms for incident handling, such as logging and threat detection, forensics, and attack remediation and eradication

  • Processi per la gestione degli eventi imprevisti e delle attività successive all'evento imprevisto, ad esempio apprendimento e conservazione delle proveProcesses for handling incidents and post-incident activities, such as lessons learned and evidence retention

Per altre informazioni, vedere i riferimenti seguenti:For more information, see the following references:

Monitoraggio del Centro sicurezza di Azure: Non applicabileAzure Security Center monitoring: Not applicable

Responsabilità: CustomerResponsibility: Customer

Passaggi successiviNext steps