Altre considerazioni sulla baseline di sicurezza

  • 8 minuti

È consigliabile seguire alcune raccomandazioni per la sicurezza aggiuntive per impostare la sicurezza generale e i controlli operativi nella sottoscrizione di Azure.

Altre raccomandazioni per la sicurezza

Le sezioni seguenti descrivono le raccomandazioni aggiuntive presenti in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.

Impostare una data di scadenza per tutte le chiavi in Azure Key Vault - Livello 1

Oltre alla chiave, è possibile specificare gli attributi seguenti per una chiave in Azure Key Vault. In una richiesta JSON la parola chiave dell'attributo e le parentesi graffe { } sono necessarie anche se non è stato specificato alcun attributo. Ad esempio, per l'attributo facoltativo IntDate, il valore predefinito è forever. L'attributo exp (data di scadenza) identifica la data di scadenza in cui o precedentemente alla quale la chiave non deve essere usata per l'operazione di crittografia, ad eccezione di alcuni tipi di operazione in condizioni specifiche. L'elaborazione dell'attributo exp richiede che la data e l'ora correnti siano precedenti alla data e all'ora di scadenza impostata nel valore exp.

Si consiglia quindi di ruotare le chiavi nell'insieme di credenziali delle chiavi e di impostare un'ora di scadenza esplicita per ogni chiave. Questo processo garantisce che le chiavi non possano essere usate oltre la durata assegnata. Key Vault archivia e gestisce i segreti come sequenze di byte a 8 bit, dette ottetti, con dimensioni massime di 25 KB per ogni chiave. Per i dati altamente sensibili è opportuno prendere in considerazione livelli di protezione aggiuntivi. È ad esempio possibile crittografare i dati con una chiave di protezione separata prima dell'archiviazione in Key Vault. Seguire questa procedura per tutte le chiavi in ognuno degli insiemi di credenziali delle chiavi.

  1. Accedi al portale di Azure. Cercare e selezionare Insiemi di credenziali delle chiavi.

  2. Nel menu a sinistra, in Oggetti, selezionare Chiavi.

  3. Nel riquadro Chiavi per l'insieme di credenziali delle chiavi assicurarsi che per ogni chiave nell'insieme di credenziali l'opzione Data di scadenza sia impostata in modo appropriato.

  4. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Impostare una data di scadenza per tutti i segreti in Azure Key Vault - Livello 1

Archiviare in modo sicuro e controllare rigorosamente l'accesso a token, password, certificati, chiavi API e altri segreti. Assicurarsi di impostare una data di scadenza per tutti i segreti in Azure Key Vault. Seguire questa procedura per tutti i segreti in ognuno degli insiemi di credenziali delle chiavi.

  1. Accedi al portale di Azure. Cercare e selezionare Insiemi di credenziali delle chiavi.

  2. Nel menu a sinistra selezionare Segreti in Oggetti.

  3. Nel riquadro Segreti per l'insieme di credenziali delle chiavi assicurarsi che per ogni segreto nell'insieme di credenziali l'opzione Data di scadenza sia impostata in modo appropriato.

    Lo screenshot seguente illustra l'impostazione di una data di scadenza per una password:

    Screenshot that shows how to set an expiration date on a key vault secret.

  4. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Impostare i blocchi per le risorse cruciali di Azure - Livello 2

L'amministratore può avere la necessità di bloccare una sottoscrizione, una risorsa o un gruppo di risorse per impedire che altri utenti modifichino o eliminino accidentalmente una risorsa strategica. Nel portale di Azure i livelli di blocco sono Sola lettura ed Eliminazione. Diversamente dal controllo degli accessi in base al ruolo, i blocchi di gestione consentono di applicare una restrizione a tutti gli utenti e i ruoli. I blocchi di Azure Resource Manager si applicano solo alle operazioni che si verificano nel piano di gestione, costituito da operazioni inviate a https://management.azure.com. I blocchi non limitano il modo in cui le risorse eseguono le proprie funzioni. Vengono limitate le modifiche alle risorse, ma non le operazioni delle risorse.

Suggerimento

Ad esempio, un blocco Read-only per un'istanza di database SQL di Azure impedisce l'eliminazione o la modifica del database. Non impedisce la creazione, l'aggiornamento o l'eliminazione di dati nel database. Le transazioni di dati sono consentite in quanto tali operazioni non vengono inviate a https://management.azure.com.

Seguire questa procedura per tutte le risorse cruciali nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Tutte le risorse.

  2. Sezionare una risorsa, un gruppo di risorse o una sottoscrizione che si vuole bloccare.

  3. Nel menu, in Impostazioni selezionare Blocchi.

  4. Nella barra dei menu del riquadro Blocchi selezionare Aggiungi.

  5. Nel riquadro Aggiungi blocco immettere un nome per il blocco e selezionare un livello di blocco. Facoltativamente è possibile aggiungere note che descrivono il blocco.

Screenshot that shows how to lock a resource in the Azure portal.