Baseline di sicurezza di Azure per Desktop virtuale Azure

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Desktop virtuale Azure. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Desktop virtuale Azure.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili a Desktop virtuale Azure sono state escluse. Per informazioni sul mapping completo di Desktop virtuale Azure al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Desktop virtuale Azure.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Desktop virtuale Azure, con conseguente aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Desktop virtuale
Il cliente può accedere a HOST/sistema operativo Accesso completo
Il servizio può essere distribuito nella rete virtuale del cliente Falso
Archivia i contenuti dei clienti inattivi Falso

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: le macchine virtuali all'interno del pool di host devono essere inserite in una rete virtuale.

Linee guida per la configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non vi sia un motivo sicuro per assegnare indirizzi IP pubblici direttamente alla risorsa.

Riferimento: Esercitazione: Creare un pool di host

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: le macchine virtuali usate all'interno del pool di host supportano l'uso dei gruppi di sicurezza di rete.

Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Tenere presente che per impostazione predefinita, i gruppi di sicurezza di rete negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.

Riferimento: Esercitazione: Creare un pool di host

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulla funzionalità: il collegamento privato con Desktop virtuale Azure è attualmente in anteprima.

Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato per stabilire un punto di accesso privato per le risorse.

Riferimento: usare collegamento privato di Azure con Desktop virtuale Azure (anteprima)

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatorio per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Informazioni di riferimento: Aggiunta ad Azure AD per Desktop virtuale Azure

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Riferimento: Configurare le identità gestite

Entità servizio

Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Esercitazione: Creare entità servizio e assegnazioni di ruolo con PowerShell in Desktop virtuale Azure (versione classica)

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.

Riferimento: Abilitare l'accesso condizionale

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account Amministrazione locali

Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: viene creato un account amministratore macchina virtuale locale per le macchine virtuali aggiunte al pool di host. Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per l'autenticazione laddove possibile.

Indicazioni sulla configurazione: se non è necessario per le operazioni amministrative di routine, disabilitare o limitare gli account amministratore locali solo per l'uso di emergenza.

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: Il Role-Based Controllo di accesso controllo degli accessi in base al ruolo di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli controllo degli accessi in base al ruolo di Azure possono essere assegnati a utenti, gruppi, entità servizio e identità gestite.

Informazioni di riferimento: Ruoli predefiniti del controllo degli accessi in base al ruolo di Azure per Desktop virtuale Azure

PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.

DP-1: individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: usare Azure Information Protection (e lo strumento di analisi associato) per informazioni riservate all'interno dei documenti di Office in Azure, in locale, Office 365 e in altre posizioni.

Linee guida per la configurazione: usare strumenti come Azure Purview, Azure Information Protection e Azure SQL l'individuazione e la classificazione dei dati per analizzare, classificare ed etichettare in modo centralizzato tutti i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 o in altre posizioni.

DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili

Funzionalità

Perdita di dati/Prevenzione della perdita di dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Microsoft

Note sulle funzionalità: usare soluzioni di prevenzione della perdita dei dati, ad esempio quelle basate su host, per applicare controlli detective e/o preventivi per impedire l'esfiltrazione dei dati.

È anche possibile usare soluzioni come DLP per Microsoft Azure per l'ambiente Desktop virtuale. Per altre informazioni, vedere Prevenzione della perdita dei dati (DLP) per Microsoft Azure Information Protection (AIP) fornisce funzionalità di monitoraggio per informazioni classificate ed etichettate.

Linee guida per la configurazione: se necessario per la conformità della prevenzione della perdita dei dati ,è possibile usare una soluzione DLP basata su host da Azure Marketplace o una soluzione DLP di Microsoft 365 per applicare controlli detective e/o preventivi per impedire l'esfiltrazione dei dati.

DP-3: Crittografare i dati sensibili in transito

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Rete

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Crittografia dei dati inattivi tramite chiavi della piattaforma

Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Protezione dei dati

DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite CMK

Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-6: usare un processo di gestione delle chiavi sicuro

Funzionalità

Gestione delle chiavi in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

DP-7: usare un processo di gestione sicura dei certificati

Funzionalità

Gestione certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.

AM-2: usare solo i servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.

Informazioni di riferimento: Baseline di sicurezza di Azure per Desktop virtuale Azure

AM-5: usare solo le applicazioni approvate nella macchina virtuale

Funzionalità

Microsoft Defender per il cloud - Controlli applicazioni adattivi

Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender for Cloud. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: anche se il controllo applicazioni adattivo tramite Microsoft Defender for Cloud non è supportato, quando si sceglie un modello di distribuzione, è possibile fornire agli utenti remoti l'accesso a interi desktop virtuali o solo a applicazioni selezionate. Le applicazioni remote, o RemoteApps, offrono all'utente un'esperienza lineare quando si lavora con le app sul proprio desktop virtuale. RemoteApps riduce il rischio consentendo all'utente di usare solo un subset del computer remoto esposto dall'applicazione.

Per altre informazioni, visitare: Usare le app remote

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando si riceve un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.

Informazioni di riferimento: Eseguire l'onboarding di dispositivi Windows in Desktop virtuale Azure

LT-4: Abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL hanno log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.

Riferimento: Eseguire il push dei dati di diagnostica nell'area di lavoro

Comportamento e gestione delle vulnerabilità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione del comportamento e della vulnerabilità.

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

Funzionalità

State Configuration di Automazione di Azure

Descrizione: Automazione di Azure State Configuration può essere usata per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Agente di configurazione guest Criteri di Azure

Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Immagini di macchine virtuali personalizzate

Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o creare una linea di base di configurazione sicura desiderata nel modello di immagine della macchina virtuale

Riferimento: Sistemi operativi e licenze

Immagini di contenitori personalizzati

Descrizione: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PV-5: Eseguire valutazioni delle vulnerabilità

Funzionalità

Valutazione della vulnerabilità con Microsoft Defender

Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per cloud o altri servizi di valutazione delle vulnerabilità incorporati di Microsoft Defender (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: seguire le raccomandazioni di Microsoft Defender for Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server SQL.

Riferimento: Abilitare Microsoft Defender per il cloud

PV-6: Correggere in modo rapido e automatico le vulnerabilità del software

Funzionalità

Automazione di Azure - Gestione aggiornamenti

Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Sicurezza degli endpoint

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza degli endpoint.

ES-1: Usare rilevamento e risposta degli endpoint (EDR)

Funzionalità

Soluzione EDR

Descrizione: la funzionalità Rilevamento endpoint e risposta (EDR), ad esempio Azure Defender per server, può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: Azure Defender per server (con Microsoft Defender per endpoint integrato) offre funzionalità EDR per impedire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender for Cloud per distribuire Azure Defender per i server per l'endpoint e integrare gli avvisi nella soluzione SIEM, ad esempio Azure Sentinel.

Riferimento: Abilitare Endpoint Protection

ES-2: Usare software antimalware moderno

Funzionalità

Soluzione antimalware

Descrizione: funzionalità antimalware, ad esempio Microsoft Defender Antivirus, Microsoft Defender per endpoint possono essere distribuite nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: per Windows Server 2016 e versioni successive, Microsoft Defender per Antivirus è installato per impostazione predefinita. Per Windows Server 2012 R2 e versioni successive, i clienti possono installare SCEP (System Center Endpoint Protection). Per Linux, i clienti possono scegliere di installare Microsoft Defender per Linux. In alternativa, i clienti hanno anche la possibilità di installare prodotti antimalware di terze parti.

Riferimento: Abilitare Microsoft Defender per il cloud

ES-3: Assicurarsi che il software antimalware e le firme siano aggiornate

Funzionalità

Monitoraggio dell'integrità della soluzione antimalware

Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti automatici della piattaforma, del motore e della firma automatica. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: configurare la soluzione antimalware per garantire che la piattaforma, il motore e le firme vengano aggiornate rapidamente e in modo coerente e il relativo stato possa essere monitorato.

Riferimento: Abilitare Microsoft Defender per il cloud

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurarsi che i backup automatici regolari

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: abilitare Backup di Azure e configurare l'origine di backup (ad esempio Azure Macchine virtuali, SQL Server, database HANA o condivisioni file) in base a una frequenza desiderata e con un periodo di conservazione desiderato. Per Azure Macchine virtuali, è possibile usare Criteri di Azure per abilitare i backup automatici.

Riferimento: In che modo Desktop virtuale Azure gestisce i backup?

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: Desktop virtuale Azure sfrutta Backup di Azure.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Passaggi successivi