Migliori pratiche di sicurezza di Microsoft Azure per il 2021
Poiché esiste un'ampia varietà di servizi Azure, non esiste una "ricetta" di sicurezza uguale per tutti per garantire l'ottimizzazione della postura di sicurezza. Tuttavia, quando suddivide i diversi aspetti di Azure in categorie più specifiche, scoprirà delle best practice attuabili che potrà implementare. Esaminiamo queste categorie e le conseguenti best practice di sicurezza di Azure.
Ma prima, i prerequisiti: Il Modello di Responsabilità Condivisa e il Principio del Minimo Privilegio
Prima di immergersi in specifiche best practice di sicurezza di Azure, si assicuri di comprendere il paradigma di sicurezza di base della piattaforma: Il modello di responsabilità condivisa di Azure.
In breve, il modello di responsabilità condivisa significa che Microsoft è responsabile della sicurezza del cloud, mentre lei è responsabile della sicurezza nel cloud. Il punto di demarcazione tra i due varia a seconda del tipo di prodotto specifico. Ad esempio, con un'applicazione SaaS, Microsoft è responsabile della sicurezza del sistema operativo. Tuttavia, con un prodotto infrastructure-as-a-service (IaaS), lei è responsabile della sicurezza del sistema operativo. Capire dove si trova questa linea di demarcazione per la sua infrastruttura Azure è un must.
Inoltre, in tutti i casi, deve seguire il principio del minor privilegio. Anche se il modo in cui implementare il principio del minimo privilegio varierà a seconda dei carichi di lavoro e delle applicazioni, l'idea rimane la stessa: concedere agli utenti, ai dispositivi, alle applicazioni e ai servizi solo l'accesso di cui hanno bisogno e niente di più. Ad esempio, con un database Azure, invece di concedere a tutti l'accesso in lettura all'intero database, può e deve utilizzare la sicurezza a livello di riga per limitare l'accesso alle righe del database.
Lista di controllo delle best practice di sicurezza di Azure
Dopo aver eliminato i prerequisiti, immergiamoci nella lista di controllo. Daremo un'occhiata ai singoli aspetti di Azure e forniremo elementi specifici e attuabili che il suo team potrà verificare.
crittografia e sicurezza dei dati
Le violazioni dei dati sono una delle maggiori minacce per la vostra posizione di sicurezza. Per questo motivo, è necessario che la crittografia e la sicurezza dei dati siano corrette. Questa lista di controllo la aiuterà ad assicurarsi di essere sulla strada giusta, e si applica a qualsiasi area di Azure che consuma, trasmette o archivia dati sensibili.
- Identificare tutte le informazioni sensibili. Dal punto di vista delle operazioni e della Conformità, deve identificare tutti i dati sensibili trasmessi o archiviati nella sua infrastruttura. Ciò le consente di decidere correttamente come ottenere un'adeguata sicurezza e Conformità.
- Crittografa i dati a riposo. Questo è l'ABC della sicurezza dei dati. Utilizzi protocolli di crittografia moderni e metodi di archiviazione sicura per tutti i dati a riposo.
- Crittografa i dati in transito. Proprio come la crittografia dei dati a riposo è un must, lo è anche la crittografia dei dati in transito. Anche se i dati non attraversano Internet, li cripti.
- Avere un piano di backup e di disaster recovery (DR). Nel caso in cui sia vittima di un ransomware o di altri malware, i backup e un piano di DR possono fare la differenza. Un solido piano di backup e DR è un must per la sicurezza di Azure.
- Utilizzi una soluzione di gestione delle chiavi. Soluzioni come Azure Key Vault le consentono di gestire in modo sicuro chiavi, segreti e certificati.
- Protegga le sue postazioni di lavoro di gestione. Accedere a dati sensibili da una postazione di lavoro insicura è un rischio importante. Si assicuri che solo le postazioni di lavoro protette possano accedere e gestire i sistemi che conservano dati sensibili.
- Utilizzi Azure Information Protection. Azure Information Protection rende più facile ottenere una visibilità completa sui suoi dati sensibili, implementare i controlli e collaborare in modo sicuro. Il suo utilizzo può rendere più facile ed efficace il suo impegno complessivo per la sicurezza dei dati.
Sicurezza dell'archiviazione e del database
La protezione dei suoi database è un elemento critico della sua postura di sicurezza complessiva. Inoltre, in molti casi è un obbligo dal punto di vista della Conformità. Qui è dove dovrebbe iniziare con la sicurezza del database in Azure.
- Limita l'accesso al database e allo storage. Utilizzi i firewall e i controlli di accesso per limitare il livello di accesso degli utenti, dei dispositivi e dei servizi ai suoi database e blob di archiviazione.
- Sfruttare l'auditing. Attivi l'auditing per i suoi database Azure. In questo modo, può ottenere la visibilità di tutte le modifiche del database.
- Configurare il rilevamento delle minacce per Azure SQL. Se utilizza Azure SQL, l'attivazione del rilevamento delle minacce la aiuta a identificare più velocemente i problemi di sicurezza e a limitare i tempi di attesa.
- Impostare gli avvisi di registro in Azure Monitor. Non è sufficiente registrare gli eventi. Si assicuri di ricevere avvisi sugli eventi legati alla sicurezza in Azure Monitor, in modo da poter risolvere i problemi rapidamente (e automaticamente, se possibile).
- Abiliti Azure Defender per i suoi account di archiviazione. Azure Defender le consente di rendere più solidi e sicuri i suoi account di archiviazione Azure.
- Utilizzi le cancellazioni morbide. Le cancellazioni soft la aiutano a garantire che i dati siano ancora recuperabili (per 14 giorni) nel caso in cui un attore malintenzionato (o un errore dell'utente) faccia sì che i dati che voleva conservare vengano eliminati.
- Utilizzi le firme di accesso condivise (SAS). SAS le consente di implementare controlli di accesso granulari e limiti di tempo per l'accesso dei clienti ai dati.
Carichi di lavoro e protezione della macchina virtuale
Questa sezione della nostra lista di controllo sulle best practice di sicurezza di Azure riguarda la macchina virtuale e altri carichi di lavoro. Ci sono alcune altre best practice che la aiuteranno a proteggere le sue risorse in Azure:
- Applichi l'autenticazione a più fattori (MFA) e password complesse. L'MFA può aiutare a limitare la minaccia di credenziali compromesse. Le password complesse aiutano a ridurre l'efficacia degli attacchi di tipo brute force.
- Utilizza l'accesso alla macchina virtuale just-in-time (JIT). L'accesso JIT funziona con gli NSG e il firewall di Azure e la aiuta a integrare i controlli di accesso basati sui ruoli (RBAC) e i vincoli temporali sull'accesso alla macchina virtuale.
- Predisporre un processo di patch. Se non sta facendo il patching dei suoi carichi di lavoro, tutti gli altri sforzi potrebbero essere inutili. Una singola vulnerabilità non patchata può portare a una violazione. Un processo di patch per mantenere aggiornati i sistemi operativi e le applicazioni aiuta a mitigare questo rischio.
- Bloccare le porte amministrative. A meno che non sia assolutamente necessario, limiti l'accesso a SSH, RDP, WinRM e altre porte amministrative.
- Utilizzi il firewall di Azure e i gruppi di sicurezza di rete (NGS) per limitare l'accesso ai carichi di lavoro. Coerentemente con il principio del minimo privilegio, utilizzi gli NSG e il firewall di Azure per limitare l'accesso al carico di lavoro.
Sicurezza della rete cloud
La sicurezza della rete è un aspetto importante per mantenere sicuri i carichi di lavoro su Azure. Ecco le best practice di sicurezza di Azure da tenere a mente per la sua rete cloud:
- Crittografa i dati in transito. Come abbiamo detto nella sezione sulla crittografia e la sicurezza dei dati: la crittografia dei dati in transito (e a riposo) è un must. Sfrutta i moderni protocolli di crittografia per tutto il traffico di rete.
- Implementare la fiducia zero. Per impostazione predefinita, le politiche di rete devono negare l'accesso, a meno che non ci sia una regola di consenso esplicita.
- Limiti le porte aperte e gli endpoint rivolti a Internet. A meno che non ci sia una ragione aziendale ben definita per cui una porta debba essere aperta o un carico di lavoro debba essere rivolto a Internet, non lo permetta.
- Monitorare l'accesso al dispositivo. Il monitoraggio dell'accesso ai carichi di lavoro e ai dispositivi (ad esempio, utilizzando un SIEM o Azure Monitor) la aiuta a rilevare in modo proattivo le minacce.
- Segmenti la sua rete. La segmentazione logica della rete può contribuire a migliorare la visibilità, a rendere le reti più facili da gestire e a limitare i movimenti est-ovest in caso di violazione.
Compliance
Il mantenimento della Conformità è uno degli aspetti più importanti della sicurezza nel cloud Azure. Ecco i nostri consigli per aiutarla a farlo.
- Definisca i suoi obiettivi di Conformità. Quali sono i dati e i carichi di lavoro che rientrano nell'ambito di applicazione della Conformità? Quali sono gli standard e i regolamenti (ad es. PCI-DSS, ISO 27001, HIPAA) sono rilevanti per la sua organizzazione? Rispondere chiaramente a queste domande e definire gli obiettivi della sua Conformità è un must.
- Utilizzi il Il dashboard Conformità normativa di Azure Security Center e Azure Security Benchmark. Il dashboard Conformità nell'Azure Security Center può aiutarla a identificare quanto è vicino a raggiungere la Conformità sulla base di un'ampia gamma di standard. Azure Security Benchmark fornisce raccomandazioni che può seguire per avvicinarsi alla piena Conformità. L'utilizzo di questi strumenti la aiuta a semplificare la Conformità nel cloud.
Migliorare la sicurezza di Azure con l'approccio Unified Cloud Security di Check Point
Come può vedere, la sicurezza nel cloud Azure è molto importante. Per aiutare le aziende a semplificare il processo e a implementare le best practice di sicurezza del cloud su scala, abbiamo sviluppato il Check Point Unified Cloud Security Approach. Basandosi sui principi di questo approccio unificato, Check Point CloudGuard è lo strumento ideale per aiutarla a implementare queste best practice Cloud Security.
Per saperne di più sulla sicurezza di Azure e su come Check Point può aiutarla, scarichi il whitepaper gratuito Achieving cloud with Confidence in the Age of Advanced Threats, dove potrà apprendere:
- Come proteggere gli ambienti multi-cloud in scala
- Come migliorare la visibilità del cloud
- Come mantenere la Conformità tra diversi deployment
In alternativa, se desidera valutare la sua attuale postura Cloud Security, si iscriva a un checkup di sicurezza gratuito. Dopo il checkup, riceverà un rapporto completo che illustra elementi come il numero di infezioni da malware, le minacce agli endpoint e agli smart device, gli attacchi bot e i tentativi di intrusione, l'uso di applicazioni ad alto rischio e la perdita di dati sensibili.