Condividi tramite


Principi di sicurezza di Azure per Azure Cache for Redis

Questa baseline di sicurezza applica indicazioni dalla versione 1.0 del benchmark di sicurezza del cloud di Microsoft a Azure Cache for Redis. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Cache Redis di Azure.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Annotazioni

Le funzionalità non applicabili a Cache Redis di Azure sono state escluse. Per informazioni sul mapping completo di Cache Redis di Azure al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Cache Redis di Azure.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Cache Redis di Azure, con conseguente aumento delle considerazioni sulla sicurezza.

Attributo di Comportamento del Servizio Valore
Categoria prodotto Banche dati
Il cliente può accedere a HOST/sistema operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia i contenuti dei clienti a riposo Falso

Sicurezza della rete

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.

NS-1: Stabilire limiti di segmentazione di rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Cliente

Note sulla funzionalità: questa funzionalità è supportata solo con un'istanza di Cache Redis di Azure di livello Premium.

Indicazioni sulla configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non esista un motivo fondamentale per assegnare indirizzi IP pubblici direttamente alla risorsa.

Riferimento: Configurare il supporto della rete virtuale per un'istanza di Cache Redis di Azure Premium

Supporto dei gruppi di sicurezza di rete

Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Cliente

Note sulle funzionalità: questa funzionalità è applicabile solo per le cache inserite nella rete virtuale.

Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Ricorda che per impostazione predefinita, i gruppi di sicurezza di rete (NSG) negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dagli Azure Load Balancers.

Riferimento: Configurare il supporto della rete virtuale per un'istanza di Cache Redis di Azure Premium

NS-2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o firewall di Azure). Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Cliente

Note sulle funzionalità: questa funzionalità non è supportata nelle cache distribuite nelle reti virtuali classiche.

Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse.

Riferimento: Azure Cache for Redis con Azure Private Link

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Note sulle funzionalità: questa funzionalità non è supportata nelle cache distribuite nelle reti virtuali classiche. Il flag publicNetworkAccess è disabilitato per impostazione predefinita.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Azure Cache for Redis con Azure Private Link

Monitoraggio di Microsoft Defender for Cloud

Definizioni predefinite di Criteri di Azure - Microsoft.Cache:

Nome
(portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Cache for Redis dovrebbe utilizzare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. VerificaSeNonEsiste, Disabilitato 1.0.0

Gestione delle identità

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: Usare un sistema centralizzato di identità e autenticazione

Funzionalità

Autenticazione di Azure AD necessaria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Metodi di autenticazione locale per l'accesso al piano dati

Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione laddove possibile. Non disabilitare completamente l'autenticazione impostando la AuthNotRequired proprietà su true, poiché questa opzione è altamente sconsigliata dal punto di vista della sicurezza e consente l'accesso non autenticato ai dati della cache.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita. Assicurarsi che la AuthNotRequired proprietà non sia impostata su true nella configurazione di Redis.

Riferimento: Come configurare Azure Cache per Redis, Proprietà RedisCommonConfiguration.AuthNotRequired, API REST Redis - Creazione

IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Principali di Servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-7: Limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dei dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare utenti con privilegi elevati/amministratori

Funzionalità

Account di amministratore locale

Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)

Funzionalità

Controllo degli accessi in base al ruolo (RBAC) di Azure per il piano dei dati

Descrizione: Il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Cassetta di Sicurezza per Clienti

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.

DP-1: individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili

Funzionalità

Prevenzione della perdita/fuga di dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-3: Crittografare i dati sensibili in transito

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il layer dati. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Come configurare Cache Redis di Azure

Monitoraggio di Microsoft Defender for Cloud

Definizioni predefinite di Criteri di Azure - Microsoft.Cache:

Nome
(portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare solo connessioni sicure a Cache Redis di Azure Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Verifica, Nega, Disabilitato 1.0.0

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati a riposo mediante chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Vero Microsoft

Note sulle funzionalità: questa funzionalità non è supportata nelle cache distribuite nelle reti virtuali classiche.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite CMK

Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-6: Usare un processo di gestione delle chiavi sicuro

Funzionalità

Gestione delle chiavi in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-7: Usare un processo di gestione dei certificati sicuro

Funzionalità

Gestione dei certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione delle risorse

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: Usare solo i servizi approvati

Funzionalità

Supporto per le Policy di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Cliente

Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse. Utilizzare le policy di Azure con gli effetti [nega] e [distribuisci se non esiste] per applicare configurazioni di sicurezza su tutte le risorse di Azure.

Riferimento: Definizioni integrate dei Criteri di Azure per Azure Cache per Redis

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender for Service/Offerta di prodotti

Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

LT-4: Abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio deposito di dati, ad esempio un account di archiviazione o uno spazio di lavoro di Log Analytics. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Cliente

Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.

Informazioni di riferimento: Monitorare i dati di Cache Redis di Azure usando le impostazioni di diagnostica

Backup e ripristino

Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Garantire backup automatici regolari

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.

Sostenuto Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Passaggi successivi

  • Consulta la panoramica del benchmark della sicurezza cloud di Microsoft
  • Altre informazioni sulle baseline di sicurezza di Azure