Modifica

Share via

Creare il primo livello di difesa con i servizi di sicurezza di Azure

Azure
Microsoft Entra ID

Idee per le soluzioni

Questo articolo è un'idea di soluzione. Per espandere il contenuto con altre informazioni, ad esempio potenziali casi d'uso, servizi alternativi, considerazioni sull'implementazione o indicazioni sui prezzi, inviare commenti e suggerimenti su GitHub.

È possibile creare un'intera infrastruttura IT per eseguire l'organizzazione usando vari servizi di Azure. Azure offre anche servizi di sicurezza per proteggere l'infrastruttura. Usando i servizi di sicurezza di Azure, è possibile migliorare il comportamento di sicurezza dell'ambiente IT. È possibile attenuare le vulnerabilità ed evitare violazioni implementando una soluzione ben progettata che segue le raccomandazioni di Microsoft.

Alcuni servizi di sicurezza comportano costi mentre altri non prevedono addebiti aggiuntivi. I servizi gratuiti includono gruppi di sicurezza di rete (NSG), crittografia dell'archiviazione, TLS/SSL, token di firma di accesso condiviso e molti altri. Questo articolo illustra tali servizi.

Questo articolo è il terzo di una serie di cinque. Per esaminare i due articoli precedenti di questa serie, tra cui l'introduzione e una revisione di come è possibile eseguire il mapping delle minacce a un ambiente IT, vedere gli articoli seguenti:

Potenziali casi d'uso

Questo articolo presenta i servizi di sicurezza di Azure in base a ogni servizio di Azure. In questo modo, è possibile considerare una minaccia specifica contro la risorsa, ovvero una macchina virtuale, un sistema operativo, una rete di Azure, un'applicazione o un attacco che potrebbe compromettere utenti e password. Usare quindi il diagramma di questo articolo per comprendere quali servizi di sicurezza di Azure usare per proteggere le risorse e le identità utente da quel tipo di minaccia.

Architettura

Diagramma delle risorse locali, dei servizi di Microsoft 365 e Azure e di 16 tipi di minacce classificati dalla matrice MITRE ATTACK.

Scaricare un file di Visio di questa architettura.

©2021 MITRE Corporation. Questo lavoro viene riprodotto e distribuito con l'autorizzazione di The MITRE Corporation.

Il livello di sicurezza di Azure in questo diagramma si basa su Azure Security Benchmark (ASB) v3, ovvero un set di regole di sicurezza implementate tramite i criteri di Azure. ASB si basa su una combinazione di regole del Centro CIS per la sicurezza Internet e il National Institute of Standards and Technology. Per altre informazioni su ASB, vedere Panoramica di Azure Security Benchmark v3.

Il diagramma non contiene tutti i servizi di sicurezza di Azure disponibili, ma mostra i servizi di sicurezza più comunemente usati dalle organizzazioni. Tutti i servizi di sicurezza identificati nel diagramma dell'architettura possono interagire in qualsiasi combinazione in base all'ambiente IT e ai requisiti di sicurezza dell'organizzazione.

Workflow

Questa sezione descrive i componenti e i servizi visualizzati nel diagramma. Molti di questi sono etichettati con i codici di controllo ASB, oltre alle etichette abbreviate. I codici di controllo corrispondono ai domini di controllo elencati in Controlli.

  1. AZURE edizione Standard CURITY BENCHMARK

    Ogni controllo di sicurezza fa riferimento a uno o più servizi di sicurezza di Azure specifici. Le informazioni di riferimento sull'architettura in questo articolo illustrano alcuni di essi e i relativi numeri di controllo in base alla documentazione di ASB. I controlli includono:

    • Sicurezza della rete
    • Gestione delle identità
    • Accesso con privilegi
    • Protezione dei dati
    • Gestione cespiti
    • Registrazione e rilevamento delle minacce
    • Risposta agli eventi imprevisti
    • Comportamento e gestione delle vulnerabilità
    • Sicurezza degli endpoint
    • Backup e ripristino
    • Sicurezza di DevOps
    • Governance e strategia

    Per altre informazioni sui controlli di sicurezza, vedere Panoramica di Azure Security Benchmark (v3).

  2. RETE

    Nella tabella seguente vengono descritti i servizi di rete nel diagramma.

    Etichetta Descrizione Documentazione
    NSG Servizio gratuito collegato a un'interfaccia di rete o a una subnet. Un gruppo di sicurezza di rete consente di filtrare il traffico del protocollo TCP o UDP usando intervalli di indirizzi IP e porte per le connessioni in ingresso e in uscita. Gruppi di sicurezza di rete
    VPN Un gateway di rete privata virtuale (VPN) che offre una protezione ip edizione Standard C (IKE v1/v2). Gateway VPN
    AZURE FIREWALL Una piattaforma distribuita come servizio (PaaS) che offre protezione al livello 4 ed è collegata a un'intera rete virtuale. Cos'è Firewall di Azure?
    APP GW + WAF app Azure lication Gateway con Web Application Firewall (WAF). gateway applicazione è un servizio di bilanciamento del carico per il traffico Web che funziona nel livello 7 e aggiunge WAF per proteggere le applicazioni che usano HTTP e HTTPS. Cos'è il gateway applicazione di Azure?
    NVA Appliance virtuale di rete, un servizio di sicurezza virtuale del marketplace di cui viene effettuato il provisioning nelle macchine virtuali in Azure. Appliance virtuali di rete
    DDOS Protezione DDoS implementata nella rete virtuale per ridurre diversi tipi di attacchi DDoS. Panoramica di Protezione di rete DDoS di Azure
    TLS/SSL TLS/SSL offre la crittografia in transito per la maggior parte dei servizi di Azure che scambiano informazioni, ad esempio Archiviazione di Azure e App Web. Configurare TLS end-to-end usando gateway applicazione con PowerShell
    COLLEGAMENTO PRIVATO Servizio che consente di creare una rete privata per un servizio di Azure che inizialmente viene esposto a Internet. Che cos'è Collegamento privato di Azure?
    ENDPOINT PRIVATO Crea un'interfaccia di rete e la collega al servizio di Azure. L'endpoint privato fa parte di collegamento privato. Questa configurazione consente al servizio, usando un endpoint privato, di far parte della rete virtuale. Che cos'è un endpoint privato?

  3. INFRASTRUTTURA ED ENDPOINT

    Nella tabella seguente vengono descritti i servizi dell'infrastruttura e degli endpoint illustrati nel diagramma.

    Etichetta Descrizione Documentazione
    BASTIONE Bastion offre funzionalità jump server. Questo servizio consente di accedere alle macchine virtuali tramite RDP (Remote Desktop Protocol) o SSH senza esporre le macchine virtuali a Internet. Che cos'è Azure Bastion?
    ANTIMALWARE Microsoft Defender offre un servizio antimalware e fa parte di Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Microsoft Defender Antivirus in Windows
    DISK ENCRYPT Crittografia dischi consente di crittografare il disco di una macchina virtuale. Crittografia dischi di Azure per macchine virtuali Windows
    KEYVAULT Key Vault, un servizio per archiviare chiavi, segreti e certificati con FIPS 140-2 Livello 2 o 3. Concetti di base di Azure Key Vault
    RDP SHORT Percorso breve RDP di Desktop virtuale Azure. Questa funzionalità consente agli utenti remoti di connettersi al servizio Desktop virtuale da una rete privata. RDP Shortpath di Desktop virtuale Azure per reti gestite
    REVER edizione Standard CONNECT Funzionalità di sicurezza predefinita di Desktop virtuale Azure. La connessione inversa garantisce che gli utenti remoti ricevano solo flussi pixel e non raggiungano le macchine virtuali host. Informazioni sulla connettività di rete di Desktop virtuale Azure

  4. APPLICAZIONE E DATI

    Nella tabella seguente vengono descritti i servizi dati e dell'applicazione illustrati nel diagramma.

    Etichetta Descrizione Documentazione
    FRONTDOOR + WAF Una rete per la distribuzione di contenuti (rete CDN). Frontdoor combina più punti di presenza per offrire una connessione migliore per gli utenti che accedono al servizio e aggiungono WAF. Che cos'è Frontdoor di Azure?
    GESTIONE API Un servizio che offre sicurezza per le chiamate API e gestisce le API in ambienti diversi. Informazioni su Gestione API
    PENTEST Set di procedure consigliate per eseguire un test di penetrazione nell'ambiente, incluse le risorse di Azure. Test di penetrazione
    TOKEN DI FIRMA DI ACCESSO CONDIVISO DI ARCHIVIAZIONE Un token di accesso condiviso per consentire ad altri utenti di accedere all'account di archiviazione di Azure. Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso
    ENDPOINT PRIVATO Creare un'interfaccia di rete e collegarla all'account di archiviazione per configurarla all'interno di una rete privata in Azure. Usare endpoint privati per l'Archiviazione di Azure
    FIREWALL DI ARCHIVIAZIONE Firewall che consente di impostare un intervallo di indirizzi IP che possono accedere all'account di archiviazione. Configurare i firewall e le reti virtuali di Archiviazione di Azure
    CRITTOGRAFIA
    (Archiviazione di Azure)    		 Protegge l'account di archiviazione con crittografia dei dati inattivi. Crittografia del servizio di archiviazione di Azure per dati inattivi
    SQL AUDIT Tiene traccia degli eventi del database e li scrive in un log di controllo nell'account di archiviazione di Azure. Controllo per il database SQL di Azure e Azure Synapse Analytics
    VULNERABILITÀ AS edizione Standard SSMENT Servizio che consente di individuare, tenere traccia e correggere potenziali vulnerabilità del database. La valutazione della vulnerabilità di SQL consente di identificare le vulnerabilità del database
    CRITTOGRAFIA
    (SQL di Azure)    		 Transparent Data Encryption (TDE) consente di proteggere i servizi di database SQL di Azure crittografando i dati inattivi. Transparent Data Encryption per database SQL, Istanza gestita di SQL e Azure Synapse Analytics

  5. IDENTITY

    Nella tabella seguente vengono descritti i servizi di identità illustrati nel diagramma.

    Etichetta Descrizione Documentazione
    RBAC Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso ai servizi di Azure usando autorizzazioni granulari basate sulle credenziali di Microsoft Entra degli utenti. Che cos'è il controllo degli accessi in base al ruolo di Azure?
    MFA L'autenticazione a più fattori offre tipi di autenticazione aggiuntivi oltre ai nomi utente e alle password. Funzionamento: Autenticazione a più fattori di Microsoft Entra
    PROTEZIONE ID Identity Protection, un servizio di sicurezza di Microsoft Entra ID, analizza trilioni di segnali al giorno per identificare e proteggere gli utenti dalle minacce. Informazioni su Identity Protection
    PIM Privileged Identity Management (PIM), un servizio di sicurezza di Microsoft Entra ID. Consente di fornire temporaneamente privilegi di utente con privilegi avanzati per l'ID Entra Microsoft (ad esempio, Global Amministrazione) e le sottoscrizioni di Azure (ad esempio, proprietario o collaboratore). Che cos'è Microsoft Entra Privileged Identity Management?
    COND ACC L'accesso condizionale è un servizio di sicurezza intelligente che usa criteri definiti per varie condizioni per bloccare o concedere l'accesso agli utenti. Informazioni sull'accesso condizionale

Componenti

L'architettura di esempio in questo articolo usa i componenti di Azure seguenti:

  • Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud. Microsoft Entra ID consente agli utenti di accedere a risorse esterne, ad esempio Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS. Consente inoltre di accedere alle risorse interne, ad esempio le app nella rete Intranet aziendale.

  • Rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Rete virtuale consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali. Rete virtuale offre una rete virtuale che trae vantaggio dall'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

  • Azure Load Balancer è un servizio di bilanciamento del carico (in ingresso e in uscita) a bassa latenza e a bassa latenza per tutti i protocolli UDP e TCP. È progettato per gestire milioni di richieste al secondo assicurando al tempo stesso la disponibilità elevata della soluzione. Azure Load Balancer offre ridondanza della zona, garantendo disponibilità elevata tra zone di disponibilità.

  • Le macchine virtuali sono uno dei diversi tipi di risorse di calcolo su richiesta e scalabili offerte da Azure. Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza che sia necessario acquistare e gestire l'hardware fisico in cui viene eseguita.

  • Il servizio Azure Kubernetes è un servizio Kubernetes completamente gestito per la distribuzione e la gestione di applicazioni in contenitori. Il servizio Azure Kubernetes offre kubernetes serverless, integrazione continua/recapito continuo (CI/CD) e sicurezza e governance di livello aziendale.

  • Desktop virtuale Azure è un servizio di virtualizzazione di desktop e app che viene eseguito nel cloud per fornire desktop per gli utenti remoti.

  • servizio app App Web è un servizio basato su HTTP per l'hosting di applicazioni Web, API REST e back-end per dispositivi mobili. È possibile sviluppare nel linguaggio preferito e le applicazioni vengono eseguite e ridimensionate con facilità in ambienti basati su Windows e Linux.

  • Archiviazione di Azure è a disponibilità elevata, scalabile, durevole e sicura di archiviazione per vari oggetti dati nel cloud, tra cui oggetto, BLOB, file, disco, coda e archiviazione tabelle. Tutti i dati scritti in un account di Archiviazione di Azure vengono crittografati dal servizio. Archiviazione di Azure offre un controllo dettagliato su chi può accedere ai dati.

  • Il database SQL di Azure è un motore di database PaaS completamente gestito che gestisce la maggior parte delle funzioni di gestione del database, ad esempio l'aggiornamento, l'applicazione di patch, i backup e il monitoraggio. Fornisce queste funzioni senza coinvolgimento dell'utente. database SQL offre una gamma di funzionalità di sicurezza e conformità predefinite che consentono all'applicazione di soddisfare i requisiti di sicurezza e conformità.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Altri contributori:

Passaggi successivi

Microsoft include più documentazione che consente di proteggere l'ambiente IT e gli articoli seguenti possono risultare particolarmente utili:

  • Sicurezza in Microsoft Cloud Adoption Framework per Azure. Cloud Adoption Framework fornisce indicazioni sulla sicurezza per il percorso cloud chiarindo i processi, le procedure consigliate, i modelli e l'esperienza.
  • Microsoft Azure Well-Architected Framework. Azure Well-Architected Framework è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Il framework si basa su cinque pilastri: affidabilità, sicurezza, ottimizzazione dei costi, eccellenza operativa ed efficienza delle prestazioni.
  • Procedure consigliate per la sicurezza Microsoft. Microsoft Security Best Practices (noto in precedenza come Bussola per la sicurezza di Azure o Microsoft Security Compass) è una raccolta di procedure consigliate che forniscono indicazioni chiare e attuabili per le decisioni relative alla sicurezza.
  • Microsoft Cybersecurity Reference Architectures (MCRA). MCRA è una compilazione di varie architetture di riferimento alla sicurezza Microsoft.

Nelle risorse seguenti sono disponibili altre informazioni sui servizi, le tecnologie e le terminologie menzionati in questo articolo:

Per altri dettagli su questa architettura di riferimento, vedere gli altri articoli di questa serie: