Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questa baseline di sicurezza si basa su una versione precedente di Microsoft Cloud Security Benchmark (v1.0). Per informazioni aggiornate sulla sicurezza per Web application firewall di Azure, vedere Proteggere web application firewall di Azure.
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Web Application Firewall di Azure. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Web application firewall di Azure.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Annotazioni
Le funzionalità non applicabili a Web application firewall di Azure sono state escluse. Per vedere come il Web Application Firewall di Azure si mappa completamente al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Web Application Firewall di Azure.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Web application firewall di Azure, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | Rete, sicurezza, Web |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti a riposo | Falso |
Sicurezza della rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Ricorda che per impostazione predefinita, i gruppi di sicurezza di rete (NSG) negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dagli Azure Load Balancers.
Monitoraggio di Microsoft Defender per il cloud
Definizioni integrate di Azure Policy - Microsoft.Network
| Nome (Portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla sottorete. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
NS-2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con NSG o Firewall di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: per altre informazioni, vedere Proteggi la tua origine con collegamento privato in Azure Front Door Premium e Configura il collegamento privato in Azure Application Gateway.
Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse.
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: nell'offerta WAF a livello di area i clienti hanno la possibilità di usare indirizzi IP privati e negare il traffico IP pubblico.
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Distribuzione del gateway applicativo privato
Accesso con privilegi
Per ulteriori informazioni, vedere il benchmark di sicurezza del cloud Microsoft: Accesso privilegiato.
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Cassetta di Sicurezza per Clienti
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: i clienti possono eseguire questi strumenti nei log all'interno di Log Analytics, ma waf stesso non archivia i dati sensibili dei clienti da individuare e classificare.
È inoltre disponibile una funzionalità all'interno di WAF che consente l'identificazione e la maschera dei dati sensibili.
Linee guida per la configurazione: lo strumento di scrubbing dei log di Web Application Firewall (WAF) consente di rimuovere i dati sensibili dai log WAF. Funziona utilizzando un motore di regole che consente di creare regole personalizzate per identificare porzioni specifiche di una richiesta che contengono dati sensibili. Una volta identificato, lo strumento rimuove le informazioni dai log e le sostituisce con *******.
Riferimento: Come mascherare i dati sensibili in Web Application Firewall di Azure
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il layer dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: per altre informazioni, vedere Configurare HTTPS in un dominio personalizzato di Azure Front Door usando il portale di Azure, Come configurare un'origine per Azure Front Door, e Panoramica della terminazione TLS e TLS end-to-end con il gateway applicazione.
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità nativa di crittografia dei dati in transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota delle macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: WAF supporta l'integrazione di Key Vault per i certificati tramite Azure Front Door e Application Gateway, a seconda della versione del WAF che il cliente sta utilizzando.
Per altre informazioni, vedere: Avvio rapido: Creare un profilo frontdoor di Azure - Portale di Azure e Esercitazione: Configurare HTTPS in un dominio personalizzato della rete CDN di Azure.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione, importazione, rotazione, revoca, archiviazione e eliminazione del certificato. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Assicurarsi che, se la rotazione automatica non è supportata nell'applicazione, le chiavi siano comunque ruotate utilizzando metodi manuali in Azure Key Vault e nell'applicazione.
Riferimento: Terminazione TLS con certificati di Key Vault
Gestione delle risorse
Per altre informazioni, vedere il benchmark della sicurezza cloud di Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto per le Policy di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: i clienti dovranno scegliere quali criteri di Azure abilitare nelle distribuzioni WAF; non vengono abilitati per impostazione predefinita.
Guida alla Configurazione: utilizzare Microsoft Defender per il Cloud per impostare Azure Policy al fine di verificare e imporre le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse. Utilizzare le policy di Azure con gli effetti [nega] e [distribuisci se non esiste] per applicare configurazioni di sicurezza su tutte le risorse di Azure.
Informazioni di riferimento: Web application firewall di Azure e Criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando si riceve un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.
Informazioni di riferimento: Visualizzare gli avvisi di Azure WAF in Defender for Cloud
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio deposito di dati, ad esempio un account di archiviazione o uno spazio di lavoro di Log Analytics. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: per ulteriori informazioni, visitare Monitoraggio e registrazione di Azure Web Application Firewall e Monitoraggio e registrazione di Azure Web Application Firewall.
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log di risorse varia in base al servizio di Azure e al tipo di risorsa.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza di Azure