Baseline di sicurezza di Azure per Azure Esplora dati
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Esplora dati. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili ad Azure Esplora dati.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure Esplora dati sono state escluse. Per informazioni su come Azure Esplora dati esegue il mapping completo al benchmark della sicurezza cloud Microsoft, vedere il file completo di mapping della baseline di sicurezza di Azure Esplora dati.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Esplora dati, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | Analisi, Database |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: è consigliabile usare endpoint privati per proteggere l'accesso di rete al cluster. Questa opzione presenta molti vantaggi rispetto all'inserimento di reti virtuali che comportano un sovraccarico di manutenzione inferiore, tra cui un processo di distribuzione più semplice e più affidabile per le modifiche della rete virtuale.
Linee guida per la configurazione: distribuire il cluster di Azure Esplora dati in una subnet nella Rete virtuale (VNet). In questo modo sarà possibile implementare regole del gruppo di sicurezza di rete per limitare il traffico del cluster Esplora dati di Azure e connettere la rete locale alla subnet del cluster Esplora dati di Azure.
Riferimento: Distribuire il cluster di Azure Esplora dati nel Rete virtuale
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: è supportato e necessario configurare le regole del gruppo di sicurezza di rete nel caso in cui Azure Esplora dati sia stato inserito nella rete virtuale del cliente. Non è consigliabile inserire Azure Esplora dati in una rete virtuale. È consigliabile seguire un'implementazione della sicurezza di rete basata su endpoint privato: endpoint privati per Azure Esplora dati.
Linee guida per la configurazione: nel caso in cui si decida di inserire Azure Esplora dati in una rete virtuale (è altamente consigliata una soluzione basata su endpoint privato) è necessario usare la delega della subnet per la distribuzione del cluster. A tale scopo, è necessario delegare la subnet a Microsoft.Kusto/clusters prima di creare il cluster nella subnet.
Abilitando la delega della subnet nella subnet del cluster, si abilita il servizio per definire le relative pre-condizioni per la distribuzione sotto forma di criteri di finalità di rete. Quando si crea il cluster nella subnet, le configurazioni del gruppo di sicurezza di rete indicate nelle sezioni seguenti vengono create automaticamente.
Riferimento: Configurare le regole del gruppo di sicurezza di rete
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: è consigliabile usare endpoint privati per proteggere l'accesso di rete al cluster. Questa opzione offre molti vantaggi rispetto all'integrazione della rete virtuale che comporta un sovraccarico di manutenzione inferiore, tra cui un processo di distribuzione più semplice e più affidabile per le modifiche della rete virtuale.
Riferimento: Endpoint privati per Azure Esplora dati
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL ip a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Limitare l'accesso pubblico al cluster di azure Esplora dati
Gestione delle identità
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatorio per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Informazioni di riferimento: Come eseguire l'autenticazione con Azure Active Directory (Azure AD) per l'accesso ad Azure Esplora dati
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure Esplora dati consente l'autenticazione nel piano dati con qualsiasi identità di Azure Active Directory. Ciò significa che le identità gestite dal sistema e dall'utente sono supportate. Azure Esplora dati supporta inoltre l'uso di identità gestite per l'autenticazione in altri servizi per l'inserimento e la query. Per altre informazioni, vedere Panoramica delle identità gestite.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Autenticazione di Azure Active Directory
Entità servizio
Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure Esplora dati supporta tutti i tipi di identità di Azure Active Directory, incluse le entità servizio
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Autenticazione di Azure Active Directory tramite un'applicazione
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.
Riferimento: Accesso condizionale con Azure Esplora dati
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso con privilegi
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account Amministrazione locali
Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: Il Role-Based Controllo di accesso controllo degli accessi in base al ruolo di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Azure Esplora dati consente di controllare l'accesso al piano dati (database e tabelle), usando un modello di controllo degli accessi in base al ruolo. In questo modello viene eseguito il mapping ai ruoli delleentità di sicurezza (utenti, gruppi e app). Le entità di sicurezza possono accedere alle risorse in base ai ruoli che vengono loro assegnati. Tuttavia, il piano dati di Azure Esplora dati viene separato dal controllo degli accessi in base al ruolo di Azure per il piano di controllo.
Fare riferimento a: Gestire le autorizzazioni del database Esplora dati di Azure
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Protezione dei dati
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: Azure Esplora dati è supportato in Microsoft Purview.
Linee guida per la configurazione: Azure Esplora dati è supportato in Microsoft Purview. È possibile usare Azure Purview per analizzare, classificare ed etichettare tutti i dati sensibili che risiedono in Azure Esplora dati.
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Funzionalità
Perdita di dati/Prevenzione della perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: limitare l'accesso in uscita del cluster è importante per attenuare i rischi, ad esempio l'esfiltrazione dei dati. Un attore malintenzionato potrebbe potenzialmente creare una tabella esterna in un account di archiviazione ed estrarre grandi quantità di dati. È possibile controllare l'accesso in uscita a livello di cluster definendo i criteri di callout. La gestione dei criteri di callout consente di consentire l'accesso in uscita a SQL, archiviazione o altri endpoint specificati.
Riferimento: Limitare l'accesso in uscita dal cluster di Azure Esplora dati
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia dei dati in Azure Esplora dati
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: per un maggiore controllo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia dei dati. È possibile gestire la crittografia dei dati a livello di archiviazione con le proprie chiavi. Una chiave gestita dal cliente viene usata per proteggere e controllare l'accesso alla chiave di crittografia radice, usata per crittografare e decrittografare tutti i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
Riferimento: Crittografia tramite la configurazione delle chiavi gestite dal cliente
DP-7: usare un processo di gestione sicura dei certificati
Funzionalità
Gestione certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione degli asset
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.
Informazioni di riferimento: controlli di conformità alle normative Criteri di Azure per Azure Esplora dati
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta del servizio/prodotto
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'indagine sulla sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida sulla configurazione: Azure Esplora dati usa i log di diagnostica per informazioni dettagliate sull'inserimento, sui comandi, sulle query e sulle tabelle. È possibile esportare i log delle operazioni in Archiviazione di Azure, hub eventi o Log Analytics per monitorare l'inserimento, i comandi e lo stato delle query. I log da Archiviazione di Azure e Hub eventi di Azure possono essere indirizzati a una tabella nel cluster di Azure Esplora dati per ulteriori analisi.
Riferimento: Monitorare l'inserimento, i comandi, le query e le tabelle di Azure Esplora dati tramite i log di diagnostica
Backup e ripristino
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.
BR-1: Assicurarsi che i backup automatizzati regolari
Funzionalità
Backup di Azure
Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure