Baseline di sicurezza di Azure per Il servizio Machine Learning

Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 al servizio Machine Learning. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili al servizio Machine Learning.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili al servizio Machine Learning sono state escluse. Per informazioni sul mapping completo del servizio Machine Learning al benchmark di sicurezza cloud Microsoft, vedere il file di mapping della baseline di base completo del servizio Machine Learning.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto del servizio Machine Learning, che possono causare un aumento delle considerazioni sulla sicurezza.

Attributo del comportamento del servizio Valore
Product Category AI+ML
Il cliente può accedere a HOST/SISTEMA operativo Accesso completo
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia il contenuto del cliente inattivo Falso

Sicurezza di rete

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Condiviso

Linee guida per la configurazione: usare isolamento network gestito per offrire un'esperienza di isolamento della rete automatizzata.

Nota: è anche possibile usare la rete virtuale per le risorse di Azure Machine Learning, ma diversi tipi di calcolo non sono supportati.

Informazioni di riferimento: Proteggere le risorse dell'area di lavoro di Azure Machine Learning usando reti virtuali (reti virtuali)

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Condiviso

Linee guida per la configurazione: usare isolamento network gestito per fornire un'esperienza di isolamento di rete automatizzata che include configurazioni in ingresso e in uscita tramite NSG.

Nota: usare gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.

Riferimento: Pianificare l'isolamento della rete

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato, per stabilire un punto di accesso privato per le risorse.

Riferimento: Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ip a livello di servizio o un commutatore di attivazione per l'accesso alla rete pubblica.

Riferimento: Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.MachineLearningServices:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I calcoli di Azure Machine Learning devono trovarsi in una rete virtuale Le reti virtuali di Azure offrono sicurezza e isolamento avanzato per i cluster e le istanze di calcolo di Azure Machine Learning, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un calcolo è configurato con una rete virtuale, non è accessibile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. Audit, Disabled 1.0.1

Gestione delle identità

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Configurare l'autenticazione per le risorse e i flussi di lavoro di Azure Machine Learning

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Riferimento: Configurare l'autenticazione tra Azure Machine Learning e altri servizi

Entità servizio

Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.

Riferimento: Configurare l'autenticazione tra Azure Machine Learning e altri servizi

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Si considerino casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la necessità di dispositivi gestiti dall'organizzazione per applicazioni specifiche.

Riferimento: Usare l'accesso condizionale

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.

Informazioni di riferimento: Usare i segreti delle credenziali di autenticazione nei processi di Azure Machine Learning

Accesso con privilegi

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account di Amministrazione locali

Descrizione: il servizio ha il concetto di un account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli degli accessi in base al ruolo di Azure possono essere assegnati a utenti, gruppi, entità servizio e identità gestite.

Informazioni di riferimento: Gestire l'accesso a un'area di lavoro di Azure Machine Learning

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare strumenti come Azure Purview, Azure Information Protection e Azure SQL Individuazione dati e classificazione per analizzare in modo centralizzato, classificare ed etichettare i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 o in altre posizioni.

Informazioni di riferimento: Connettersi a e gestire Azure Machine Learning in Microsoft Purview

DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili

Funzionalità

Prevenzione della perdita/perdita dei dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: se necessario per la conformità della prevenzione della perdita di dati (DLP), è possibile usare una configurazione di protezione dell'esfiltrazione dei dati. L'isolamento della rete gestita supporta anche la protezione dell'esfiltrazione dei dati.

Informazioni di riferimento: Prevenzione dell'esfiltrazione dei dati di Azure Machine Learning

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: Azure Machine Learning usa TLS per proteggere le comunicazioni interne tra vari microservizi di Azure Machine Learning. Tutti gli accessi di Archiviazione di Azure avvengono inoltre su un canale sicuro.

Per informazioni su come proteggere un endpoint online Kubernetes creato tramite Azure Machine Learning, vedere Configurare un endpoint online sicuro con TLS/SSL

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Crittografia in transito

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Dati inattivi crittografia tramite chiavi della piattaforma

Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: Crittografia dei dati con Azure Machine Learning

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattiva tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

Informazioni di riferimento: Chiavi gestite dal cliente per Azure Machine Learning

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.MachineLearningServices:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente Gestire la crittografia inattivi dei dati dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente necessarie per soddisfare gli standard di conformità normativi. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Key Vault di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o quando si verifica un ritiro o un compromesso chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati separata (DEK) con la chiave di crittografia delle chiavi (KEK) nell'insieme di credenziali delle chiavi. Assicurarsi che le chiavi vengano registrate con Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) al servizio (ad esempio l'importazione di chiavi protette da HSM dalle macchine virtuali locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione iniziale e il trasferimento delle chiavi.

Informazioni di riferimento: Chiavi gestite dal cliente per Azure Machine Learning

DP-7: Usare un processo di gestione dei certificati sicuro

Funzionalità

Gestione dei certificati in Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Gestione degli asset

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.

Informazioni di riferimento: Criteri di Azure definizioni di criteri predefinite per Azure Machine Learning

AM-5: Usare solo applicazioni approvate nella macchina virtuale

Funzionalità

Microsoft Defender per cloud - Controlli applicazioni adattivi

Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender per cloud. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: se si usano contenitori o cluster personalizzati per Azure Machine Learning, è necessario abilitare l'analisi delle risorse Registro Azure Container e servizio Azure Kubernetes tramite Microsoft Defender per cloud. Tuttavia, non è possibile usare Microsoft Defender per cloud nelle istanze di calcolo gestite di Azure Machine Learning o nei cluster di calcolo.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

LT-4: abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.

Informazioni di riferimento: Monitorare Azure Machine Learning

Comportamento e gestione delle vulnerabilità

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione della postura e della vulnerabilità.

PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo

Funzionalità

State Configuration di Automazione di Azure

Descrizione: è possibile usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Agente di configurazione guest Criteri di Azure

Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per Cloud e Criteri di Azure agente di configurazione guest per valutare e correggere regolarmente le deviazioni di configurazione nelle risorse di calcolo di Azure, tra cui macchine virtuali, contenitori e altri.

Immagini di macchine virtuali personalizzate

Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Immagini di contenitori personalizzati

Descrizione: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o compilare la linea di base di configurazione sicura desiderata nel modello di immagine del contenitore

Riferimento: Eseguire il training di un modello usando un'immagine Docker personalizzata

PV-5: Eseguire valutazioni delle vulnerabilità

Funzionalità

Valutazione della vulnerabilità con Microsoft Defender

Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per cloud o altri servizi di valutazione delle vulnerabilità incorporati di Microsoft Defender (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: l'installazione dell'agente defender per server non è attualmente supportata, ma Trivy può essere installato nelle istanze di calcolo per individuare le vulnerabilità a livello di pacchetto python e del sistema operativo.

Per altre informazioni, vedere: Gestione delle vulnerabilità per Azure Machine Learning

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PV-6: Correggere in modo rapido e automatico le vulnerabilità del software

Funzionalità

Automazione di Azure - Gestione aggiornamenti

Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulle funzionalità: i cluster di calcolo vengono aggiornati automaticamente all'immagine di macchina virtuale più recente. Se il cluster è configurato con min nodes = 0, aggiorna automaticamente i nodi alla versione più recente dell'immagine della macchina virtuale al termine di tutti i processi e il cluster riduce a zero nodi.

Le istanze di calcolo ottengono le immagini della macchina virtuale più recenti al momento del provisioning. Microsoft rilascia nuove immagini di vm su base mensile. Una volta distribuita, un'istanza di calcolo non viene aggiornata attivamente. Per mantenere aggiornati gli aggiornamenti software e le patch di sicurezza più recenti, è possibile:

  1. Ricreare un'istanza di calcolo per ottenere l'immagine del sistema operativo più recente (scelta consigliata)

  2. In alternativa, aggiornare regolarmente i pacchetti del sistema operativo e Python.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Sicurezza degli endpoint

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza degli endpoint.

ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)

Funzionalità

Soluzione EDR

Descrizione: la funzionalità Rilevamento endpoint e risposta (EDR), ad esempio Azure Defender per server, può essere distribuita nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

ES-2: Usare un software antimalware moderno

Funzionalità

Soluzione antimalware

Descrizione: funzionalità antimalware, ad esempio Microsoft Defender Antivirus, Microsoft Defender per endpoint possono essere distribuite nell'endpoint. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: ClamAV può essere usato per individuare il malware e viene preinstallato nell'istanza di calcolo.

Riferimento: Gestione delle vulnerabilità negli host di calcolo

ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati

Funzionalità

Monitoraggio dell'integrità della soluzione antimalware

Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti automatici della piattaforma, del motore e della firma automatica. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: ClamAV può essere usato per individuare il malware e viene preinstallato nell'istanza di calcolo.

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Passaggi successivi