Gestire la posizione di sicurezza con Azure Security Benchmark

Gestire la posizione di sicurezza con Azure Security Benchmark

14/06/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'uso di Azure Security Benchmark (ASB) per gestire e migliorare il livello di sicurezza dei loro ambienti Azure. In un panorama cloud in continua evoluzione, garantire che le risorse siano configurate in modo sicuro e conformi alle best practice è una sfida continua. ASB, in collaborazione con Microsoft Defender for Cloud, fornisce un framework completo per valutare, monitorare e migliorare la sicurezza dei carichi di lavoro cloud [1].

Introduzione

La sicurezza del cloud è una responsabilità condivisa tra il fornitore di servizi cloud (Microsoft) e il cliente. Sebbene Microsoft protegga l'infrastruttura sottostante, la sicurezza dei dati, delle applicazioni e delle configurazioni di rete all'interno dell'ambiente è tua responsabilità. La complessità dei servizi cloud e la velocità del cambiamento possono rendere difficile mantenere un approccio di sicurezza solido e coerente. Errate configurazioni, vulnerabilità senza patch e mancanza di visibilità sono vettori di attacco comuni che possono portare a violazioni della sicurezza [2].

Azure Security Benchmark (ASB) è un insieme di linee guida sulla sicurezza specifiche per Azure, sviluppate da Microsoft, che incorporano le migliori pratiche di sicurezza e i consigli di conformità di framework leader del settore come CIS (Center for Internet Security) e NIST (National Institute of Standards and Technology). Fornisce una base per proteggere le risorse cloud, coprendo aree quali la sicurezza della rete, la gestione delle identità, la protezione dei dati, la gestione delle vulnerabilità e altro ancora. Microsoft Defender for Cloud (in precedenza Azure Security Center) è lo strumento principale per valutare e monitorare la conformità ASB [3].

Questa guida pratica tratterà i prerequisiti, i concetti ASB, come utilizzare Microsoft Defender for Cloud per valutare la conformità ASB, interpretare i consigli sulla sicurezza, correggere gli errori, configurare le eccezioni e monitorare il punteggio di sicurezza. Verranno fornite istruzioni dettagliate, esempi pratici e spiegazioni concise in modo che il lettore possa implementare, testare e convalidare queste funzionalità. Inoltre, verranno discussi suggerimenti sulla sicurezza, controllo della conformità e procedure consigliate per garantire che il livello di sicurezza in Azure venga continuamente migliorato, in modo autonomo, professionale e affidabile.

Perché Azure Security Benchmark è fondamentale per il tuo livello di sicurezza?

  • Linee guida complete: fornisce una serie dettagliata di consigli sulla sicurezza per i servizi di Azure, che coprono tutti gli aspetti della sicurezza del cloud.
  • Allineamento agli standard di settore: basato su framework di sicurezza riconosciuti a livello globale, garantisce che le vostre pratiche di sicurezza siano allineate alle migliori pratiche.
  • Valutazione continua: integrato con Microsoft Defender for Cloud, offre una valutazione continua della conformità ASB e identifica le deviazioni.
  • Raccomandazioni attuabili: fornisce consigli chiari e passaggi correttivi per risolvere problemi di sicurezza e migliorare la postura.
  • Monitoraggio del punteggio di sicurezza: aiuta a visualizzare e monitorare i progressi nel miglioramento della sicurezza attraverso una metrica quantificabile (punteggio di sicurezza).
  • Conformità normativa: facilita la conformità con vari requisiti di conformità mappando i controlli ASB agli standard normativi.

Prerequisiti

Per gestire il tuo livello di sicurezza con Azure Security Benchmark, avrai bisogno dei seguenti elementi:

  1. Abbonamento Azure attivo: un abbonamento Azure con risorse distribuite.
  2. Accesso amministrativo: un account con il ruolo di "Proprietario", "Collaboratore" o "Amministratore della sicurezza" sulla sottoscrizione o sul gruppo di risorse.
  3. Microsoft Defender for Cloud abilitato: Defender for Cloud deve essere abilitato nell'abbonamento per fornire valutazioni e consigli sulla sicurezza. Il piano gratuito offre già ASB [4].

Passo dopo passo: gestire l'approccio alla sicurezza con Azure Security Benchmark

Abilitiamo il Centro sicurezza, valutiamo la conformità ASB e risolviamo i suggerimenti.

1. Abilitazione di Microsoft Defender for Cloud e Azure Security BenchmarkASB è incluso automaticamente nel Centro sicurezza. Se hai già abilitato Defender for Cloud, ASB è già in fase di valutazione.

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Microsoft Defender for Cloud" e selezionalo dai risultati.
  4. Nella pagina di panoramica del Centro sicurezza, verifica che l'abbonamento sia integrato. In caso contrario segui le istruzioni per integrare il tuo abbonamento.
  5. Nel riquadro di navigazione a sinistra, seleziona Impostazioni ambiente.
  6. Seleziona la firma che desideri proteggere.

  7. Nella pagina dei piani Defender, assicurati che il piano "Basic Cloud Security" (che include ASB) sia "Attivo".

    • Spiegazione: il piano base di Defender for Cloud fornisce gratuitamente la valutazione del livello di sicurezza, inclusi i consigli di Azure Security Benchmark. I piani a pagamento (come Defender for Servers, Defender for Storage) aggiungono la protezione del carico di lavoro (CWPP).

2. Valutazione della conformità con il benchmark di sicurezza di Azure

Defender for Cloud visualizza la conformità ASB tramite il dashboard di conformità normativa.

  1. Nel riquadro di navigazione sinistro di Defender for Cloud, seleziona Conformità normativa.
  2. Nella dashboard verrà visualizzato "Benchmark di sicurezza di Azure" elencato come uno degli standard di conformità.

  3. Fai clic su "Benchmark di sicurezza di Azure" per visualizzare i dettagli di conformità.

    • Spiegazione: questa dashboard mostra una panoramica della conformità ASB, incluso il numero di controlli superati, quanti non superati e quanti richiedono un intervento manuale. Puoi approfondire i controlli per visualizzare consigli specifici.

3. Interpretazione e correzione delle raccomandazioni di sicurezza

I consigli costituiscono la base per migliorare il livello di sicurezza.

  1. Nel riquadro di navigazione sinistro di Defender for Cloud, seleziona Consigli.
  2. Le raccomandazioni sono raggruppate per "Controllo di sicurezza". È possibile filtrare per "Standard" = "Benchmark di sicurezza di Azure".
  3. Trova una raccomandazione con "Stato" = "Non integro" (ad esempio "Le porte di gestione dovrebbero essere limitate agli intervalli IP attendibili").

  4. Fare clic sulla raccomandazione per visualizzare i dettagli:

    • Descrizione: Spiega il problema di sicurezza.
    • Passaggi di risoluzione: fornisce istruzioni dettagliate per correggere il problema. Molti consigli offrono un'opzione "Correggi" con un solo clic o uno script di automazione.
    • Risorse interessate: elenca tutte le risorse (VM, account di archiviazione, reti e così via) che non sono conformi.
    • Standard di conformità: mostra a quali controlli ASB (e altri standard) si rivolge questa raccomandazione.

  5. Rimedio a una raccomandazione (esempio: limitazione delle porte di gestione):

    • Per la raccomandazione "Le porte di gestione devono essere limitate a intervalli IP attendibili", fare clic sulle risorse interessate.
    • Per ciascuna funzionalità, puoi fare clic su "Correggi" o seguire le istruzioni manuali per configurare un gruppo di sicurezza di rete (NSG) che limiti l'accesso alle porte RDP/SSH solo a IP specifici e attendibili.

    • Esempio di comando dell'interfaccia della riga di comando di Azure per aggiornare NSG: "bash." aggiornamento della regola nsg di rete az\ --resource-group \ --nsg-nome \ --name \ --source-address-prefixes \ --destination-port-ranges 3389 # o 22 ```

    • Spiegazione: dopo la correzione, il Centro sicurezza rivaluterà la risorsa. Se la correzione ha esito positivo, lo stato della risorsa cambierà in "Sano" e il suo punteggio di sicurezza verrà aggiornato.

4. Configurazione delle eccezioni per i consigli

In alcuni casi, una raccomandazione potrebbe non essere applicabile a una risorsa specifica oppure potrebbe esserci una giustificazione aziendale per non risolverla immediatamente. Puoi creare un'eccezione.

  1. Nella pagina dei dettagli di una raccomandazione, fare clic su "..." (altre opzioni) e selezionare "Crea eccezione".
  2. Crea eccezione:
    • Ambito: seleziona se l'eccezione si applica all'intero abbonamento, a un gruppo di risorse o a una risorsa specifica.
    • Motivo: seleziona il motivo dell'eccezione (ad esempio "Rischio accettato", "Mitigato dal controllo di terze parti").
    • Data di scadenza: imposta una data di scadenza per l'eccezione.
    • Commento: Fornire una giustificazione dettagliata per l'eccezione.

  3. Fare clic su Crea.

    • Spiegazione: le eccezioni devono essere utilizzate con cautela e documentate. Rimuovono la raccomandazione dal tuo punteggio sicuro, ma il rischio sottostante esiste ancora. Esaminare regolarmente le eccezioni.

5. Monitoraggio del punteggio di sicurezza

Il punteggio di sicurezza è una misura quantificabile del tuo livello di sicurezza.

  1. Nel riquadro di navigazione sinistro di Defender for Cloud, seleziona Panoramica.
  2. Viene visualizzato in evidenza il "Punteggio sicuro", che mostra il tuo punteggio attuale e il potenziale di miglioramento.

  3. Fare clic su "Punteggio sicuro" per visualizzare i dettagli, inclusi i consigli che contribuiscono maggiormente al miglioramento del punteggio.

    • Spiegazione: Il punteggio di sicurezza viene calcolato in base alla percentuale di consigli di sicurezza che hai risolto. Dai la priorità ai consigli che hanno un impatto maggiore sul tuo punteggio e che sono più critici per il tuo ambiente.

Convalida e test

È fondamentale verificare che le azioni correttive funzionino e che il livello di sicurezza stia migliorando.

1. Verifica della correzione delle raccomandazioni

  1. Scenario: dopo aver applicato una soluzione per un consiglio (ad esempio la limitazione delle porte di gestione), attendere alcuni minuti affinché il Centro sicurezza rivaluti la risorsa.
  2. Azione prevista: lo stato della risorsa per tale raccomandazione dovrebbe cambiare da "Non integro" a "Sano".
  3. Verifica:
    • Passare a Microsoft Defender for Cloud > Consigli.
    • Filtra in base al consiglio che hai risolto e controlla lo stato delle risorse interessate.

2. Monitoraggio dell'evoluzione del punteggio di sicurezza

  1. Scenario: dopo aver risolto diversi consigli, osserva come si evolve il tuo punteggio di sicurezza nel tempo.
  2. Azione prevista: il tuo punteggio di sicurezza dovrebbe aumentare, riflettendo il miglioramento del tuo livello di sicurezza.
  3. Verifica:
    • Vai a Microsoft Defender for Cloud > Panoramica e osserva il grafico di tendenza del Punteggio di sicurezza.

Suggerimenti e best practice per la sicurezza

  • Dai priorità ai consigli critici: concentrati innanzitutto sui consigli che hanno il maggiore impatto sul tuo punteggio di sicurezza e che affrontano i rischi più critici per il tuo ambiente.
  • Riparazione automatizzata: usa le opzioni di "Riparazione" con un solo clic o gli script di automazione (criteri di Azure, Automazione di Azure) per correggere i consigli su larga scala.
  • Integrazione con criteri di Azure: usa criteri di Azure per applicare la conformità ASB, assicurando che le nuove risorse siano già distribuite in conformità e che le risorse esistenti non si discostino dai criteri.
  • Revisione regolare: rivedi regolarmente raccomandazioni di sicurezza, eccezioni e punteggi sicuri per mantenere un approccio di sicurezza proattivo.
  • Consapevolezza del team: assicurati che i team di sviluppo e operativi siano consapevoli delle raccomandazioni ASB e di come le loro azioni influiscono sulla posizione di sicurezza.
  • Difendi il cloud con piani a pagamento: sebbene ASB sia gratuito, valuta la possibilità di abilitare i piani Defender for Cloud a pagamento (ad esempio Defender for Servers, Defender for Storage, Defender for SQL) per ottenere la protezione del carico di lavoro (CWPP) e il rilevamento avanzato delle minacce.

Risoluzione dei problemi comuni

  • I consigli non vengono aggiornati dopo la correzione:
    • Potrebbe essere necessario del tempo affinché il Centro sicurezza rivaluti le risorse e aggiorni lo stato. Attendi qualche minuto e aggiorna la pagina.
    • Verificare che la riparazione sia stata applicata correttamente. A volte le istruzioni di riparazione possono contenere dettagli specifici che devono essere seguiti con precisione.
    • Controllare i log attività di Azure per confermare che la modifica è stata applicata alla risorsa.
  • Il punteggio sicuro non aumenta: *Il punteggio sicuro riflette la percentuale di consigli risolti. Se hai risolto solo alcune raccomandazioni a basso impatto, l’aumento potrebbe essere minimo.
    • Assicurati che non vi siano nuove raccomandazioni "non salutari" che compromettano le tue soluzioni correttive.
  • Le risorse non compaiono nei consigli:
    • Verificare che il Centro sicurezza sia abilitato per l'abbonamento in cui si trovano le risorse.
    • Assicurati che le funzionalità siano supportate dal Centro sicurezza PC e da ASB.
    • Potrebbe verificarsi un ritardo nella scoperta di nuove risorsecorsi tramite Defender for Cloud.
  • Domande su una raccomandazione specifica:
    • Consulta la documentazione ufficiale di Azure Security Benchmark su Microsoft Learn per ulteriori dettagli su ogni controllo e raccomandazione.
    • Utilizza l'opzione "Feedback" nel portale di Azure per inviare domande o commenti a Microsoft.

Conclusione

Azure Security Benchmark, insieme a Microsoft Defender for Cloud, è uno strumento indispensabile per qualsiasi organizzazione che desideri mantenere un livello di sicurezza solido e conforme in Azure. Fornendo un quadro chiaro di best practice e una piattaforma per la valutazione e la correzione continue, consente ai team di sicurezza di identificare e risolvere in modo proattivo le violazioni della sicurezza. L'adozione e il mantenimento attivo di ASB sono fondamentali per proteggere le risorse cloud dalle minacce informatiche e garantire l'integrità delle operazioni. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire il livello di sicurezza dei loro ambienti Azure in modo autonomo, professionale e affidabile.

Riferimenti:

[1]Microsoft Learn. Panoramica di Azure Security Benchmark v3. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2]Microsoft Learn. Security Control v3: gestione della postura e delle vulnerabilità. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3]Microsoft Learn. Che cos'è Microsoft Defender per Cloud?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4]Microsoft Learn. Migliorare la conformità normativa - Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5]Microsoft Learn. Punteggio di sicurezza Defender for Cloud. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6]Microsoft Learn. Consigli per soluzioni correttive: Microsoft Defender for Cloud. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7]Microsoft Learn. Consulta i consigli sulla sicurezza - Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations