Raccomandazioni di sicurezza per la rete sono integrate con Microsoft Defender per il cloud
La sicurezza di rete riguarda diversi tipi di tecnologie, dispositivi e processi. Fornisce un set di regole e configurazioni progettate per proteggere l'integrità, la riservatezza e l'accessibilità delle reti di computer e dei dati. Ogni organizzazione, indipendentemente dalle dimensioni, dal settore o dall'infrastruttura, necessita di un certo livello di soluzioni di sicurezza di rete per proteggersi dai rischi di attacchi in continua crescita.
Per Microsoft Azure, proteggere o offrire la possibilità di proteggere le risorse come microservizi, macchine virtuali, dati e altri elementi, è fondamentale. Microsoft Azure offre la protezione attraverso un firewall virtuale distribuito.
Una rete virtuale in Microsoft Azure è isolata dalle altre reti e comunica attraverso indirizzi IP privati.
Sicurezza di rete
La sicurezza di rete riguarda i controlli per proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS. La descrizione completa dei controlli è disponibile in Controllo di sicurezza V3: sicurezza di rete in Microsoft Docs.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Principio di sicurezza: assicurarsi che la distribuzione della rete virtuale sia allineata alla strategia di segmentazione aziendale definita nel controllo di sicurezza GS-2. Qualsiasi carico di lavoro che potrebbe comportare un rischio maggiore per l'organizzazione deve risiedere in reti virtuali isolate. Tra gli esempi di carico di lavoro ad alto rischio sono inclusi:
- Un'applicazione che archivia o elabora dati altamente sensibili.
- Un'applicazione di rete esterna accessibile da utenti pubblici o esterni all'organizzazione.
- Un'applicazione che usa architettura non sicura o che contiene vulnerabilità che non possono essere facilmente risolte.
Per migliorare la strategia di segmentazione aziendale, limitare o monitorare il traffico tra le risorse interne usando i controlli di rete. Per applicazioni specifiche e ben definite, ad esempio un'app a 3 livelli, questo può essere un approccio di tipo "negato per impostazione predefinita, consentito per eccezione" limitando le porte, i protocolli, l'origine e gli indirizzi IP di destinazione del traffico di rete. Se sono presenti molte applicazioni ed endpoint che interagiscono tra loro, il blocco del traffico potrebbe compromettere la scalabilità ed è possibile che si riesca solo a monitorare solo il traffico.
Indicazioni di Azure: come approccio di segmentazione fondamentale, creare una rete virtuale nella rete di Azure, affinché le risorse come le macchine virtuali possano essere distribuite nella rete virtuale all'interno di un limite di rete. Per segmentare ulteriormente la rete, è possibile creare subnet all'interno della rete virtuale per reti secondarie più piccole.
Usare i gruppi di sicurezza di rete come controllo del livello di rete per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione.
È anche possibile usare i gruppi di sicurezza delle applicazioni per semplificare una configurazione complessa. Anziché definire i criteri in base agli indirizzi IP nei gruppi di sicurezza di rete, i gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Principio di sicurezza: proteggere i servizi cloud creando un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso dalla rete pubblica quando possibile.
Indicazioni di Azure: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato, per stabilire un punto di accesso privato per le risorse. È anche consigliabile disabilitare o limitare l'accesso alla rete pubblica ai servizi, ove possibile.
Per determinati servizi, è anche possibile distribuire l'integrazione della rete virtuale per il servizio in cui è possibile limitare la rete virtuale per stabilire un punto di accesso privato per il servizio.
Sicurezza di rete 3: Distribuire il firewall nella rete perimetrale aziendale
Principio di sicurezza: distribuire un firewall per eseguire operazioni di filtro avanzate sul traffico di rete verso e da reti esterne. È anche possibile usare firewall tra segmenti interni per supportare una strategia di segmentazione. Se necessario, usare route personalizzate per la subnet per eseguire l'override della route di sistema quando è necessario forzare il traffico di rete affinché passi attraverso un'appliance di rete per il controllo della sicurezza.
Come minimo, bloccare gli indirizzi IP dannosi noti e i protocolli ad alto rischio, ad esempio la gestione remota (come RDP e SSH) e i protocolli Intranet (come SMB e Kerberos).
Indicazioni di Azure: usare Firewall di Azure per usufruire di una restrizione completa del traffico a livello di applicazione con stato (ad esempio filtro URL) e/o la gestione centrale su un numero elevato di segmenti o spoke aziendali (in una topologia hub-spoke).
Se si dispone di una topologia di rete complessa, ad esempio una configurazione hub-spoke, potrebbe essere necessario creare route definite dall'utente per garantire che il traffico passi attraverso la route desiderata. Ad esempio, è possibile usare una route definita dall'utente per reindirizzare il traffico Internet in uscita tramite un Firewall di Azure specifico o un'appliance virtuale di rete.
Sicurezza di rete 4: Distribuire sistemi di rilevamento/prevenzione intrusioni (IDS/IPS)
Principio di sicurezza: usare sistemi di rilevamento/prevenzione delle intrusioni di rete (IDS/IPS) per controllare il traffico di rete e payload verso o dal carico di lavoro. Assicurarsi che il sistema di rilevamento/prevenzione intrusioni (IDS/IPS) sia sempre ottimizzato per fornire avvisi di qualità elevata alla soluzione SIEM.
Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.
Indicazioni di Azure: usare la funzionalità di rilevamento/prevenzione intrusioni di Firewall di Azure nella rete per ricevere avvisi e/o bloccare il traffico verso e da domini e indirizzi IP dannosi noti.
Per funzionalità di rilevamento e prevenzione a livello di host più avanzate, usare sistemi di rilevamento/prevenzione intrusioni (IDS/IPS) basati su host o una soluzione di rilevamento e reazione dagli endpoint (EDR) basata su host, ad esempio Microsoft Defender per endpoint, a livello di macchina virtuale in combinazione con il sistema di rilevamento/prevenzione intrusioni di rete.
Sicurezza di rete 5: Distribuire la protezione DDoS
Principio di sicurezza: distribuire la protezione DDoS (Distributed Denial of Service) per proteggere la rete e le applicazioni da eventuali attacchi.
Materiale sussidiario di Azure: Abilitare il piano di protezione della rete standard DDoS nella rete virtuale per proteggere le risorse esposte alle reti pubbliche.
Sicurezza di rete 6: Distribuire Web application firewall
Principio di sicurezza: distribuire un web application firewall (WAF) e configurare le regole appropriate per proteggere le applicazioni Web e le API da attacchi specifici dell'applicazione.
Indicazioni di Azure: usare le funzionalità di web application firewall (WAF) nel gateway applicazione di Azure, nel servizio Frontdoor di Azure e in Rete CDN di Azure per proteggere le applicazioni, i servizi e le API da attacchi a livello di applicazione nella rete perimetrale. Configurare web application firewall in "modalità di rilevamento" o "modalità di prevenzione", a seconda delle esigenze e del panorama delle minacce. Scegliere un set di regole predefinito, ad esempio le vulnerabilità OWASP Top 10 e ottimizzarlo per l'applicazione.
Sicurezza di rete 7: Semplificare la configurazione di sicurezza della rete
Principio di sicurezza: per la gestione di un ambiente di rete complesso, usare strumenti per semplificare, centralizzare e ottimizzare la gestione della sicurezza di rete.
Indicazioni di Azure: usare le funzionalità seguenti per semplificare l'implementazione e la gestione dei gruppi di sicurezza di rete e delle regole di Firewall di Azure:
- Usare la Protezione avanzata adattiva per la rete di Microsoft Defender per il cloud per consigliare regole di protezione avanzata del gruppo di sicurezza di rete che limitano ulteriormente porte, protocolli e indirizzi IP di origine in base all'intelligence sulle minacce e al risultato dell'analisi del traffico.
- Usare Gestione firewall di Azure per centralizzare i criteri firewall e la gestione delle route della rete virtuale. Per semplificare l'implementazione delle regole del firewall e dei gruppi di sicurezza di rete, è anche possibile usare il modello di ARM (Azure Resource Manager) di Gestione firewall di Azure.
Sicurezza di rete 8: Rilevare e disabilitare i servizi e i protocolli non sicuri
Principio di sicurezza: rilevare e disabilitare i servizi e i protocolli non sicuri a livello del sistema operativo, dell'applicazione o del pacchetto software. Distribuire controlli di compensazione se non è possibile disabilitare i servizi e i protocolli non sicuri.
Indicazioni di Azure: usare la cartella di lavoro Protocollo non sicuro di Azure Sentinel per individuare l'uso di servizi e protocolli non sicuri, ad esempio SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, associazioni LDAP non firmate e crittografia debole in Kerberos. Disabilitare i servizi e i protocolli non sicuri che non soddisfano lo standard di sicurezza appropriato.
Nota
Se la disabilitazione di servizi o protocolli non sicuri non è possibile, usare controlli di compensazione, ad esempio bloccando l'accesso alle risorse tramite il gruppo di sicurezza di rete, Firewall di Azure o Web application firewall di Azure per ridurre la superficie di attacco.
Sicurezza di rete 9: Connettere la rete locale o cloud privatamente
Principio di sicurezza: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di coubicazione.
Indicazioni di sicurezza: usare connessioni private per la comunicazione sicura tra reti diverse, ad esempio data center del provider di servizi cloud e infrastruttura locale in un ambiente di coubicazione.
Per la connettività leggera da sito a sito o da punto a sito, usare la rete privata virtuale di Azure (VPN) per creare una connessione sicura tra il sito locale o il dispositivo utente finale alla rete virtuale di Azure.
Per la connessione con prestazioni elevate di livello aziendale, usare Azure ExpressRoute (o la rete WAN virtuale) per connettere i data center di Azure e l'infrastruttura locale in un ambiente di coubicazione.
Per la connessione di due o più reti virtuali di Azure, usare il peering di reti virtuali. Il traffico di rete tra reti virtuali con peering è privato e viene mantenuto nella rete backbone di Azure.
Sicurezza di rete 10: Garantire la sicurezza del DNS (Domain Name System)
Principio di sicurezza: assicurarsi che la configurazione di sicurezza del DNS (Domain Name System) sia protetta da rischi noti:
- Usare servizi DNS attendibili e ricorsivi nell'ambiente cloud per garantire che il client (ad esempio sistemi operativi e applicazioni) riceva il risultato della risoluzione corretto.
- Separare la risoluzione DNS pubblica e privata in modo che il processo di risoluzione DNS per la rete privata possa essere isolato dalla rete pubblica.
- Assicurarsi che la strategia di sicurezza per il DNS includa anche la prevenzione da attacchi comuni, ad esempio dangling DNS, attacchi di amplificazione DNS, DNS poisoning e spoofing e così via.
Indicazioni di Azure: usare il DNS ricorsivo di Azure o un server DNS esterno attendibile nella configurazione DNS ricorsiva del carico di lavoro, ad esempio nel sistema operativo della macchina virtuale o nell'applicazione.
Usare DNS privato di Azure per la configurazione della zona DNS privata in cui il processo di risoluzione DNS non esce dalla rete virtuale. Usare un DNS personalizzato per limitare la risoluzione DNS e consentire solo la risoluzione attendibile al client.
Usare Azure Defender per DNS per la protezione avanzata contro le minacce di sicurezza seguenti al carico di lavoro o al servizio DNS:
- Esfiltrazione di dati dalle risorse di Azure tramite tunneling DNS
- Malware che comunica con i server di comando e controllo
- Comunicazione con domini dannosi come phishing e crypto mining
- Attacchi DNS nella comunicazione con resolver DNS dannosi
È anche possibile usare Azure Defender per il servizio app per rilevare i record DNS interrotti qualora venga ritirato un sito Web del servizio app senza rimuovere il dominio personalizzato corrispondente dal registrar DNS.
Microsoft Cloud Security Benchmark
Microsoft ha rilevato che l'uso dei benchmark di sicurezza consente di proteggere rapidamente le distribuzioni cloud. Un framework di procedure consigliate per la sicurezza completo dei provider di servizi cloud può offrire un punto di partenza per la selezione di impostazioni di configurazione di sicurezza specifiche nell'ambiente cloud, in più provider di servizi e consente di monitorare queste configurazioni usando un unico pannello di controllo.
Microsoft Cloud Security Benchmark (MCSB) include una raccolta di raccomandazioni di sicurezza a impatto elevato che è possibile usare per proteggere i servizi cloud in un ambiente cloud singolo o multi-cloud. Le raccomandazioni di MCSB includono due aspetti principali:
- Controlli di sicurezza: queste raccomandazioni sono in genere applicabili ai carichi di lavoro cloud. Ogni raccomandazione identifica un elenco di stakeholder che sono in genere coinvolti nella pianificazione, nell'approvazione o nell'implementazione del benchmark.
- Baseline del servizio: applicano i controlli a singoli servizi cloud per offrire raccomandazioni sulla configurazione di sicurezza del servizio specifico. Attualmente le baseline del servizio sono disponibili solo per Azure.
Implementare Microsoft Cloud Security Benchmark
- Pianificare l'implementazione di Microsoft Cloud Security Benchmark esaminando la documentazione relativa ai controlli aziendali e alle baseline specifiche del servizio per pianificare il framework di controllo e il modo in cui è mappato alle indicazioni come i controlli Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e il framework PCI-DSS (Payment Card Industry Data Security Standard).
- Monitorare la conformità con lo stato di Microsoft Cloud Security Benchmark (e altri set di controlli) usando il dashboard di conformità alle normative di Microsoft Defender per il cloud per l'ambiente multi-cloud.
- Stabilire protezioni per automatizzare le configurazioni sicure e applicare la conformità con Microsoft Cloud Security Benchmark (e altri requisiti dell'organizzazione) usando funzionalità come Azure Blueprints, Criteri di Azure o le tecnologie equivalenti di altre piattaforme cloud.
Terminologia
I termini controllo e baseline vengono spesso usati nella documentazione di Microsoft Cloud Security Benchmark ed è importante comprenderne il significato in Azure.
| Termine | Descrizione | Esempio |
|---|---|---|
| Controllo | Un controllo è una descrizione generale di una funzionalità o di un'attività che deve essere presa in considerazione e che non è specifica di una tecnologia o di un'implementazione. | La protezione dei dati è una delle famiglie dei controlli di sicurezza. La protezione dei dati contiene azioni specifiche necessarie per garantire la protezione dei dati. |
| Di base | Una baseline è l'implementazione del controllo sui singoli servizi di Azure. Ogni organizzazione decide le raccomandazioni del benchmark e le configurazioni corrispondenti necessarie in Azure. Nota: attualmente le baseline del servizio sono disponibili solo per Azure. | L'azienda Contoso vuole abilitare le funzionalità di sicurezza di Azure SQL seguendo la configurazione consigliata nella baseline di sicurezza di Azure SQL. |
Usare Microsoft Defender for Cloud per conformità alle normative
Microsoft Defender per il cloud consente di semplificare il processo per soddisfare i requisiti di conformità alle normative con il dashboard di conformità alle normative.
Il dashboard di conformità con le normative mostra lo stato di tutte le valutazioni all'interno dell'ambiente per le normative e gli standard scelti. Quando si interviene in base alle raccomandazioni riducendo i fattori di rischio nell'ambiente, il comportamento di conformità risulta migliorato.
Dashboard Conformità con le normative
Il dashboard mostra una panoramica dello stato della conformità con il set di normative di conformità supportate. Vengono visualizzati il punteggio di conformità complessivo e il numero di valutazioni superate e non superate associate a ogni standard.
Controlli di conformità
- Sottoscrizioni a cui si applica lo standard.
- Elenco di tutti i controlli per lo standard.
- Visualizzazione dei dettagli delle valutazioni superate e non superate associate al controllo.
- Numero di risorse interessate.
Alcuni controlli sono disattivati. A tali controlli non è associata alcuna valutazione di Microsoft Defender for Cloud. Controllare i requisiti e valutarli nell'ambiente. Alcuni potrebbero essere correlati ai processi e non di tipo tecnico.
Esplorazione dei dettagli della conformità a uno standard specifico
Per generare un report PDF con un riepilogo dello stato di conformità corrente per uno standard specifico, selezionare Scarica report.
Il report fornisce un riepilogo generale dello stato di conformità per lo standard selezionato in base ai dati delle valutazioni di Microsoft Defender for Cloud. Il report è organizzato in base ai controlli per lo standard specifico. Il report può essere condiviso con gli stakeholder appropriati e può essere usato come prova per i revisori interni ed esterni.
Avvisi in Microsoft Defender for Cloud
Microsoft Defender for Cloud raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure, della rete e delle soluzioni dei partner connesse, come soluzioni di protezione endpoint e firewall, per rilevare le minacce reali e ridurre i falsi positivi. Microsoft Defender for Cloud visualizza un elenco degli avvisi di sicurezza in ordine di priorità, insieme alle informazioni necessarie per analizzare rapidamente il problema e ai passaggi per risolvere un attacco.
Gestire gli avvisi di sicurezza
La pagina di panoramica di Microsoft Defender for Cloud mostra il riquadro Avvisi di sicurezza nella parte superiore e come collegamento dalla barra laterale.
La pagina Avvisi di sicurezza mostra gli avvisi attivi. È possibile ordinare l'elenco in base a Gravità, Titolo avviso, Risorsa interessata, Avvio attività, Tattiche MITRE ATT&CK e Stato.
Per filtrare l'elenco di avvisi, selezionare uno dei filtri pertinenti. È possibile aggiungere altri filtri con l'opzione Aggiungi filtro.
L'elenco viene aggiornato in base alle opzioni di filtro selezionate. I filtri possono essere molto utili. Può ad esempio essere necessario esaminare gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore, perché si sta analizzando una potenziale violazione nel sistema.
Rispondere agli avvisi di sicurezza
Nell'elenco Avvisi di sicurezza selezionare un avviso. Verrà visualizzato un riquadro laterale con una descrizione dell'avviso e l'indicazione di tutte le risorse interessate.
Visualizzando i dettagli completi, è possibile vedere altre informazioni, come illustrato nella figura seguente:
Il riquadro a sinistra della pagina Avviso di sicurezza mostra le informazioni generali relative all'avviso di sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione dell'attività sospetta e risorsa interessata. Oltre alla risorsa interessata sono indicati i tag di Azure rilevanti per la risorsa. Usare questi elementi per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.
Il riquadro a destra include la scheda Dettagli avviso che contiene altri dettagli dell'avviso utili per esaminare il problema, come indirizzi IP, file, processi e altro ancora.
Nel riquadro a destra è inoltre presente la scheda Intervieni. Usare questa scheda per eseguire altre azioni relative all'avviso di sicurezza. Sono disponibili azioni come le seguenti:
- Mitigare la minaccia: Fornisce i passi da seguire per risolvere manualmente questo avviso di sicurezza.
- Evitare attacchi futuri: Fornisce raccomandazioni sulla sicurezza che consentono di ridurre la superficie di attacco, migliorare la postura di sicurezza e prevenire così attacchi futuri.
- Attivare la risposta automatica: Consente di attivare un'app per la logica come risposta a questo avviso di sicurezza.
- Eliminare avvisi simili: Consente di disattivare gli avvisi futuri con caratteristiche simili, se l'avviso non è rilevante per l'organizzazione.