Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa baseline di sicurezza applica indicazioni dal benchmark della sicurezza cloud Microsoft versione 1.0 ad Archiviazione. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili all'archiviazione.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Annotazioni
Le funzionalità non applicabili all'archiviazione sono state escluse. Per informazioni sul mapping completo dell'archiviazione al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo delle baseline di sicurezza di archiviazione.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto dell'archiviazione, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | Storage |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti a riposo | Vero |
Sicurezza della rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
NS-2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o firewall di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: distribuire endpoint privati per Archiviazione di Azure per stabilire un punto di accesso privato per le risorse.
Riferimento: Usare endpoint privati per Archiviazione di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando il filtro ACL ip a livello di servizio di Archiviazione di Azure o un interruttore per l'accesso alla rete pubblica.
Riferimento: Modificare la regola di accesso alla rete predefinita
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: Usare un sistema centralizzato di identità e autenticazione
Funzionalità
Autenticazione di Azure AD necessaria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: l'archiviazione offre diversi modi per autorizzare il piano dati. Azure offre il controllo degli accessi in base al ruolo di Azure per il controllo granulare dell'accesso di un client alle risorse in un account di archiviazione. Usare le credenziali di Azure AD quando possibile come procedura consigliata per la sicurezza, anziché usare la chiave dell'account, che può essere compromessa più facilmente. Quando la progettazione dell'applicazione richiede firme di accesso condiviso per l'accesso all'archiviazione BLOB, usare le credenziali di Azure AD per creare firme di accesso condiviso di delega utente quando possibile per una maggiore sicurezza.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Autorizzare l'accesso ai dati in Archiviazione di Azure
Metodi di autenticazione locale per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.
Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locali per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: modello di autorizzazione SFTP
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente amministrate, aggiornate e protette dalla piattaforma, evitando credenziali codificate in modo fisso nel codice sorgente o nei file di configurazione.
Riferimento: Autorizzare l'accesso ai dati BLOB con identità gestite per le risorse di Azure
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni aggiuntive: con Azure AD è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere le autorizzazioni a un'entità di sicurezza, che può essere un utente, un gruppo o un'entità servizio dell'applicazione. L'entità di sicurezza viene autenticata da Azure AD per restituire un token OAuth 2.0. Il token può quindi essere usato per autorizzare una richiesta relativa al servizio BLOB.
Riferimento: Autorizzare l'accesso ai BLOB con Azure Active Directory
IM-7: Limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
Riferimento: Non consentire l'autorizzazione della chiave condivisa per l'uso dell'accesso condizionale di Azure AD
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida sulla configurazione: assicurarsi che i segreti e le credenziali siano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Riferimento: Gestire le chiavi dell'account di archiviazione con Key Vault e l'interfaccia della riga di comando di Azure
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Funzionalità
Account amministratore locale
Descrizione: il servizio ha il concetto di account amministrativo locale. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il data plane
Descrizione: Il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida di configurazione: Azure Storage supporta l'uso di Azure Active Directory (Azure AD) per autorizzare le richieste ai dati blob. Con Azure AD è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere le autorizzazioni a un'entità di sicurezza, che può essere un utente, un gruppo o un'entità servizio dell'applicazione.
L'autorizzazione delle richieste in Archiviazione di Azure con Azure AD offre sicurezza e facilità di utilizzo superiori rispetto all'autorizzazione con chiave condivisa. Microsoft consiglia di usare l'autorizzazione di Azure AD con le applicazioni BLOB quando possibile per garantire l'accesso con privilegi minimi necessari.
Riferimento: Autorizzare l'accesso ai BLOB con Azure Active Directory
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Cassetta di Sicurezza per Clienti
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Riferimento: Customer Lockbox
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: l'integrazione dell'archiviazione con Azure purview è attualmente in anteprima privata.
Indicazioni sulla configurazione: usare Azure Purview per analizzare, classificare ed etichettare i dati sensibili che risiedono in Archiviazione di Azure.
Riferimento: Connettersi all'archivio BLOB di Azure in Microsoft Purview
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Funzionalità
Prevenzione della fuoriuscita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: Defender per Archiviazione analizza continuamente il flusso di telemetria generato dai servizi Archiviazione BLOB di Azure e File di Azure. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per il cloud con i dettagli dell'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.
Microsoft Defender per Archiviazione è integrato in Microsoft Defender for Cloud. Quando si abilitano le funzionalità di sicurezza avanzate di Microsoft Defender for Cloud nella sottoscrizione, Microsoft Defender per Archiviazione viene abilitato automaticamente per tutti gli account di archiviazione. È possibile abilitare o disabilitare Defender per Archiviazione per singoli account di archiviazione in una sottoscrizione specifica.
Informazioni di riferimento: Configurare Microsoft Defender per Archiviazione
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia di Azure Storage per i dati a riposo
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi per i dati inclusi nell'ambito utilizzando una chiave gestita dal cliente per Azure Storage.
Informazioni di riferimento: Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure
DP-6: Usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruota e revoca le chiavi in Azure Key Vault e il servizio associato secondo una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati (DEK) separata con la chiave di cifratura delle chiavi (KEK) nel deposito di chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e siano referenziate tramite ID delle chiavi dal servizio o dall'applicazione. Se è necessario portare la propria chiave della piattaforma (BYOK) nel servizio, ad esempio importando chiavi protette dal modulo di protezione hardware (HSM) dai HSM locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione iniziale delle chiavi e il loro trasferimento.
Riferimento: Gestire le chiavi dell'account di archiviazione con Key Vault e l'interfaccia della riga di comando di Azure
Gestione delle risorse
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: definire e implementare configurazioni di sicurezza standard per le risorse di rete associate all'account di archiviazione di Azure con Criteri di Azure. Usare gli alias di Azure Policy negli spazi dei nomi "Microsoft.Storage" e "Microsoft.Network" per creare criteri personalizzati per verificare o applicare la configurazione di rete delle risorse dell'account di archiviazione.
È anche possibile usare definizioni di criteri predefinite correlate all'account di archiviazione, ad esempio: Gli account di archiviazione devono usare un endpoint servizio di rete virtuale
Riferimento: Definizioni predefinite di Criteri di Azure per Archiviazione di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida sulla configurazione: usare Microsoft Defender per Archiviazione per fornire un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Usa funzionalità avanzate di rilevamento delle minacce e dati di Microsoft Threat Intelligence per fornire avvisi di sicurezza contestuali. Questi avvisi includono anche i passaggi per mitigare le minacce rilevate e prevenire attacchi futuri.
Informazioni di riferimento: Introduzione a Microsoft Defender per Archiviazione
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio deposito di dati, ad esempio un account di archiviazione o uno spazio di lavoro di Log Analytics. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: inserire i log tramite Monitoraggio di Azure per aggregare i dati di sicurezza generati da dispositivi endpoint, risorse di rete e altri sistemi di sicurezza. In Azure Monitor, usare le aree di lavoro di Log Analytics per eseguire query e analisi e utilizzare gli account di archiviazione di Azure per l'archiviazione a lungo termine o di archiviazione, opzionalmente con funzionalità di sicurezza, come l'archiviazione immutabile e i blocchi di conservazione forzati.
Informazioni di riferimento: Monitoraggio dell'archiviazione BLOB di Azure
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Garantire backup automatici regolari
Funzionalità
Azure Backup
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: Backup di Azure è attualmente supportato solo per l'archiviazione BLOB di Azure. È possibile eseguire il backup dei dati della coda e della tabella usando lo strumento da riga di comando AzCopy.
Indicazioni sulla configurazione: abilitare Backup di Azure e configurare l'origine di backup in base alla frequenza desiderata e con un periodo di conservazione desiderato. Backup di Azure consente di configurare facilmente il backup operativo per la protezione dei BLOB in blocchi negli account di archiviazione. Il backup dei blob viene configurato a livello di account di archiviazione. Tutti i BLOB nell'account di archiviazione sono quindi protetti con il backup operativo.
È possibile configurare il backup per più account di archiviazione usando il Centro backup. È anche possibile configurare il backup per un account di archiviazione usando le proprietà di protezione dei dati dell'account di archiviazione.
Informazioni di riferimento: Panoramica del backup operativo per i BLOB di Azure
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni aggiuntive: il backup operativo dei BLOB è una soluzione di backup locale. I dati di backup non vengono trasferiti alla cassetta di backup, ma vengono archiviati nello stesso account di archiviazione di origine. Tuttavia, la cassetta di backup serve ancora come unità di gestione dei backup. Si tratta inoltre di una soluzione di backup continuo, il che significa che non è necessario pianificare i backup e tutte le modifiche verranno mantenute e ripristinabili dallo stato in un momento specifico.
Informazioni di riferimento: Panoramica del backup operativo per i BLOB di Azure
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza di Azure