Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa baseline di sicurezza applica indicazioni dal Microsoft Cloud Security Benchmark versione 1.0 a Azure Cosmos DB. Il benchmark di sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili a Azure Cosmos DB.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando portale di Microsoft Azure. definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di portale di Microsoft Azure.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste sono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Annotazioni
Features non applicabili per Azure Cosmos DB sono stati esclusi. Per vedere come Azure Cosmos DB si mappa completamente al benchmark della sicurezza cloud di Microsoft, consulta il file completo di mappatura della baseline di sicurezza di Azure Cosmos DB.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Cosmos DB, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | Banche dati |
| Il cliente può accedere a HOST/sistema operativo | Nessun Accesso |
| Il servizio può essere distribuito nel Rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti a riposo | Vero |
Sicurezza della rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Funzionalità
Integrazione di Rete virtuale
Description: il servizio supporta la distribuzione nel Rete virtuale privato del cliente. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Configuration Guidance: distribuire il servizio in un Rete virtuale. L'account Azure Cosmos DB verrà esposto al Rete virtuale tramite gli indirizzi IP pubblici.
Reference: Configurare accesso a Azure Cosmos DB da reti virtuali (VNet)
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
NS-2: proteggere cloud services con i controlli di rete
Funzionalità
collegamento privato di Azure
Description: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con NSG o Firewall di Azure). Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Configuration Guidance: Distribuire endpoint privati per tutte le risorse Azure che supportano la funzionalità di collegamento privato, per stabilire un punto di access privato per le risorse.
Reference: Configurare collegamento privato di Azure per un account Cosmos Azure
Disabilitare Access di rete pubblica
Description: Il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro IP ACL a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita Accesso Rete Pubblica". Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Configuration Guidance: Disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello del servizio o un interruttore per l'accesso alla rete pubblica.
Reference: Configurare il firewall IP in Azure Cosmos DB
monitoraggio portale di Microsoft Azure
Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:
| Nome (portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Gli account di Azure Cosmos DB devono avere regole firewall | Le regole del firewall devono essere definite nei Azure account Cosmos DB per impedire il traffico da origini non autorizzate. Gli account con almeno una regola IP definita con il filtro Rete virtuale abilitato vengono considerati conformi. Anche gli account che disabilitano i access pubblici vengono considerati conformi. | Verifica, Nega, Disabilitato | 2.0.0 |
Gestione delle identità
Per ulteriori informazioni, consulta il benchmark di sicurezza del cloud di Microsoft: Gestione delle identità.
IM-1: Usare un sistema centralizzato di identità e autenticazione
Funzionalità
Autenticazione di Azure AD richiesta per l'accesso al piano dati
Il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dei dati. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note : l'autenticazione di Azure AD è supportata solo nell'API Core (SQL). Altre API supportano solo l'autenticazione basata su chiave.
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Metodi di autenticazione locali per l'accesso al piano di dati
Description: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione laddove possibile.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Reference: Accesso sicuro ai dati in Azure Cosmos DB
monitoraggio portale di Microsoft Azure
Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:
| Nome (portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Gli account di database dbCosmos devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente Azure Active Directory identità per l'autenticazione. Per altre informazioni, vedere: https://docs.microsoft.com/Azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Verifica, Nega, Disabilitato | 1.1.0 |
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note : l'autenticazione di Azure AD è supportata solo nell'API Core (SQL).
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Reference: Configurare le identità gestite con Azure Active Directory per l'account Azure Cosmos DB
Principali di Servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
note : l'autenticazione di Azure AD è supportata solo dall'API Core (SQL).
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
IM-7: Limitare gli accessi alle risorse secondo le condizioni
Funzionalità
Accesso condizionale per il piano dei dati
Description: Gli accessi del piano dati possono essere controllati usando i criteri di accesso condizionale di Azure AD. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: i criteri di accesso condizionale sono supportati quando viene utilizzata l'autenticazione di Azure AD. L'autenticazione di Azure AD è supportata solo nell'API Core (SQL).
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Integrazione e archiviazione delle credenziali dei servizi e dei segreti in Azure Key Vault
Description: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Cosmos DB può utilizzare chiavi primarie/secondarie (segreti condivisi) per controllare l'accesso ai dati. L'integrazione di questi segreti in Key Vault non è supportata direttamente da Cosmos DB, ma il codice client personalizzato che usa segreti condivisi può usare Key Vault, se necessario.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso privilegiato
Per altre informazioni, vedere Microsoft cloud security benchmark: Privileged access.
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Funzionalità
Azure RBAC per il piano dati
Description: Azure Role-Based Controllo di accesso (Azure controllo degli accessi in base al ruolo) può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
PA-8: Determinare il processo di accesso per il supporto del fornitore cloud
Funzionalità
Cassetta di Sicurezza per Clienti
Description: Customer Lockbox può essere usato per l'accesso al supporto Microsoft. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
note Feature: Azure Cosmos DB è un servizio DBaaS completamente gestito e multi-tenant in cui i clienti controllano esclusivamente access ai dati tramite crittografia, autorizzazione basata su identità, isolamento di rete e limiti del tenant. Il personale Microsoft non dispone di un access predefinito o permanente ai dati dei clienti come parte delle normali operazioni del servizio.
Configuration Guidance: poiché l'accesso al contenuto dei clienti non è un requisito di supporto di routine in questa architettura multi-tenant, i flussi di lavoro di approvazione di Azure Customer Lockbox non sono progettati per essere applicabili per Azure Cosmos DB.
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Description: gli strumenti (ad esempio Azure Purview o Azure Information Protection) possono essere usati per l'individuazione e la classificazione dei dati nel servizio. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: Microsoft Purview classificazione dei dati supporta solo l'API principale (SQL) di Azure Cosmos DB.
Configuration Guidance: usare Microsoft Purview per analizzare, classificare ed etichettare in modo centralizzato tutti i dati sensibili che risiedono nell'account cosmos DB Azure.
Riferimento: Collegarsi al database di Azure Cosmos (SQL API) in Microsoft Purview
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/fuga di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Configuration Guidance: usare Microsoft Defender per Azure Cosmos DB per rilevare i tentativi di esfiltrazione dei dati.
Riferimento: Microsoft Defender for Azure Cosmos DB
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il layer dati. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: Cosmos DB supporta la crittografia dei dati in transito con TLS v1.2 o versione successiva e non può essere disabilitata. Azure fornisce anche la crittografia per i dati in transito tra data center Azure.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Reference: Crittografia doppia
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo mediante chiavi della piattaforma
Descrizione: la crittografia dei dati a riposo è supportata tramite le chiavi della piattaforma, e tutti i contenuti dei clienti a riposo vengono crittografati con queste chiavi gestite da Microsoft. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
note Feature: i dati archiviati nell'account Azure Cosmos DB vengono crittografati automaticamente e senza problemi con chiavi gestite da Microsoft (chiavi gestite dal servizio).
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Reference: crittografia dei dati in Azure Cosmos DB
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: La crittografia dei dati a riposo usando chiavi gestite dal cliente è supportata per i contenuti dei clienti archiviati dal servizio. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Reference: Configurare chiavi gestite dal cliente per l'account Cosmos di Azure con Azure Key Vault
monitoraggio portale di Microsoft Azure
Criteri di Azure definizioni predefinite - Microsoft.DocumentDB:
| Nome (portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Gli account di Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati a riposo dell'Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Scopri di più su . | audit, Audit, nega, Nega, disabilitato, Disabilitato | 1.1.0 |
DP-6: Usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Description: il servizio supporta l'integrazione Azure Key Vault per eventuali chiavi, segreti o certificati dei clienti. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Reference: Configurare le chiavi gestite dal cliente per il tuo account Azure Cosmos DB con Azure Key Vault
Gestione delle risorse
Per altre informazioni, vedere il benchmark della sicurezza cloud di Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto per Criteri di Azure
Description: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Reference. Definizioni di criteri predefinite di Criteri di Azure - Cosmos DB
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Description: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e segnalare problemi di sicurezza. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Configuration Guidance: usare Microsoft Defender per Azure Cosmos DB per rilevare automaticamente più minacce alla sicurezza.
Riferimento: Microsoft Defender for Azure Cosmos DB
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
log delle risorse Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di Log Analytics. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Azure Cosmos DB consente di monitorare l'attività tramite monitoraggio Azure o log di diagnostica personalizzati che possono essere analizzati con Azure Log Analytics.
Reference: Monitor Azure Cosmos DB
Backup e ripristino
Per altre informazioni, vedere il benchmark della sicurezza cloud Microsoft : Backup e ripristino.
BR-1: Garantire backup automatici regolari
Funzionalità
Backup di Azure
Description: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Description: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Scopri di più.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Reference: Online backup e ripristino dei dati su richiesta in Azure Cosmos DB
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza Azure