Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Web application firewall. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle Web application firewall di Azure.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure Web application firewall sono state escluse. Per informazioni su come Azure Web application firewall esegue completamente il mapping al benchmark di sicurezza cloud Microsoft, vedere il file completo di mapping della baseline di sicurezza di Azure Web application firewall.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Web application firewall, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | Rete, sicurezza, Web |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Falso |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Network:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: per altre informazioni, vedere Proteggere l'origine con collegamento privato in Frontdoor Premium di Azure e Configurare gateway applicazione di Azure collegamento privato.
Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato per stabilire un punto di accesso privato per le risorse.
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: nell'offerta WAF a livello di area i clienti hanno la possibilità di usare indirizzi IP privati e negare il traffico IP pubblico.
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL ip a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Distribuzione di gateway applicazione privati
Accesso con privilegi
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: i clienti possono eseguire questi strumenti nei log all'interno di Log Analytics, ma il WAF stesso non archivia i dati sensibili dei clienti da individuare e classificare.
Inoltre, esiste una funzionalità all'interno del WAF che consente l'identificazione e la maschera dei dati sensibili.
Linee guida per la configurazione: lo strumento di scrubbing log di Web application firewall (WAF) consente di rimuovere i dati sensibili dai log WAF. Funziona usando un motore regole che consente di creare regole personalizzate per identificare parti specifiche di una richiesta che contiene dati sensibili. Una volta identificato, lo strumento elimina le informazioni dai log e la sostituisce con ****..
Informazioni di riferimento: Come mascherare i dati sensibili in Azure Web application firewall
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: per altre informazioni, vedere Configurare HTTPS in un dominio personalizzato di Frontdoor di Azure usando la portale di Azure, Come configurare un'origine per Frontdoor di Azure e Panoramica della terminazione TLS e fine a fine TLS con gateway applicazione.
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui sono presenti dati nativi nella funzionalità di crittografia di transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che TLS v1.2 o versione successiva venga usato. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: il WAF supporta l'integrazione Key Vault per i certificati tramite Frontdoor di Azure e gateway applicazione a seconda della versione del WAF in cui è in esecuzione il cliente.
Per altre informazioni, vedere Avvio rapido: Creare un profilo frontdoor di Azure - portale di Azure e esercitazione: Configurare HTTPS in un dominio personalizzato della rete CDN di Azure.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui la creazione, l'importazione, la rotazione, la revoca, l'archiviazione e l'eliminazione del certificato. Assicurarsi che la generazione del certificato sia conforme agli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e l'applicazione.
Riferimento: terminazione TLS con certificati Key Vault
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: i clienti dovranno scegliere quali criteri di Azure abilitare nelle distribuzioni WAF; non vengono abilitati per impostazione predefinita.
Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Azure Web application firewall e Criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando viene visualizzato un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.
Informazioni di riferimento: Visualizzare gli avvisi WAF di Azure in Defender for Cloud
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: per altre informazioni, vedere Monitoraggio e registrazione di Azure Web application firewall e Monitoraggio e registrazione di Azure Web application firewall.
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL hanno log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure