Procedure consigliate per proteggere e gestire i carichi di lavoro migrati in AzureBest practices to secure and manage workloads migrated to Azure

In fase di pianificazione e progettazione per la migrazione, oltre a considerare la migrazione stessa, è necessario valutare il modello di sicurezza e gestione in Azure dopo la migrazione.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. Questo articolo descrive la pianificazione e le procedure consigliate per la protezione della distribuzione di Azure dopo la migrazione.This article describes planning and best practices for securing your Azure deployment after migrating. Vengono inoltre descritte le attività in corso per assicurare l'esecuzione della distribuzione a un livello ottimale.It also covers ongoing tasks to keep your deployment running at an optimal level.

Importante

Le procedure consigliate e le opinioni descritte in questo articolo si basano sulle funzionalità dei servizi e della piattaforma di Azure disponibili al momento della redazione di questo documento.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Caratteristiche e funzionalità variano nel tempo.Features and capabilities change over time.

Proteggere i carichi di lavoro migratiSecure migrated workloads

Dopo la migrazione, l'attività più importante consiste nel proteggere i carichi di lavoro migrati da minacce interne ed esterne.After migration, the most critical task is to secure migrated workloads from internal and external threats. A tale scopo, seguire queste procedure consigliate:These best practices help you to do that:

  • informazioni su come usare il monitoraggio, le valutazioni e i consigli proposti dal Centro sicurezza di Azure.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • ottenere le procedure consigliate per la crittografia dei dati in Azure.Get best practices for encrypting your data in Azure.
  • proteggere le macchine virtuali da malware e attacchi dannosi.Protect your VMs from malware and malicious attacks.
  • proteggere informazioni riservate nelle app Web migrate.Keep sensitive information secure in migrated web apps.
  • verificare chi può accedere alle sottoscrizioni e alle risorse di Azure dopo la migrazione.Verify who can access your Azure subscriptions and resources after migration.
  • rivedere periodicamente i log di controllo e protezione di Azure.Review your Azure auditing and security logs on a regular basis.
  • comprendere e valutare le funzionalità di sicurezza avanzate offerte da Azure.Understand and evaluate advanced security features that Azure offers.

Queste procedure consigliate sono descritte più dettagliatamente nelle sezioni seguenti.These best practices are described in more detail in the sections that follow.

Procedura consigliata: seguire le raccomandazioni del Centro sicurezza di AzureBest practice: Follow Azure Security Center recommendations

Gli amministratori del tenant di Azure devono abilitare le funzionalità di sicurezza che proteggono i carichi di lavoro dagli attacchi.Azure tenant admins need to enable security features that protect workloads from attacks. Il Centro sicurezza di Azure offre un livello unificato di gestione della sicurezza.Azure Security Center provides unified security management. Dal centro sicurezza è possibile applicare criteri di sicurezza tra i carichi di lavoro, limitare l'esposizione alle minacce e rilevare e rispondere agli attacchi.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Il Centro sicurezza analizza le risorse e le configurazioni tra i tenant di Azure e apporta consigli sulla sicurezza, tra cui:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Gestione centralizzata dei criteri: Assicurare la conformità ai requisiti di sicurezza aziendali o normativi gestendo centralmente i criteri di sicurezza in tutti i carichi di lavoro cloud ibridi.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Valutazione della sicurezza continua: Monitorare il comportamento di sicurezza di computer, reti, servizi di archiviazione e dati e applicazioni per individuare potenziali problemi di sicurezza.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Raccomandazioni di utilità pratica: Correggere le vulnerabilità di sicurezza prima che possano essere sfruttate da utenti malintenzionati, con raccomandazioni di sicurezza con priorità e utilità pratica.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Avvisi ed eventi imprevisti classificati in ordine di priorità: Concentrarsi innanzitutto sulle minacce più critiche, con gli avvisi di sicurezza e gli eventi imprevisti in ordine di priorità.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Oltre alle valutazioni e alle raccomandazioni, il Centro sicurezza di Azure fornisce altre funzionalità di sicurezza che è possibile abilitare per risorse specifiche.In addition to assessments and recommendations, Azure Security Center provides other security features that you can enable for specific resources.

  • Accesso just-in-time (JIT).Just-in-time (JIT) access. Ridurre la superficie di attacco alla rete con l'accesso just-in-Time controllato alle porte di gestione nelle macchine virtuali di Azure.Reduce your network attack surface with just-in-time, controlled access to management ports on Azure VMs.
    • La porta RDP della macchina virtuale 3389 aperta su Internet espone le macchine virtuali alle attività continue da attori malintenzionati.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Gli indirizzi IP di Azure sono noti e i pirati informatici eseguono probe continui per sferrare attacchi sulle porte 3389 aperte.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • JIT usa i gruppi di sicurezza di rete (gruppi) e le regole in ingresso che limitano la quantità di tempo per cui una porta specifica è aperta.Just-in-time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Con l'accesso JIT abilitato, il Centro sicurezza verifica che un utente disponga delle autorizzazioni di accesso in scrittura RBAC (Role-Based Access Control) per una macchina virtuale.With just-in-time access enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. Inoltre, è possibile specificare le regole per il modo in cui gli utenti possono connettersi alle macchine virtuali.In addition, you can specify rules for how users can connect to VMs. Se le autorizzazioni sono OK, viene approvata una richiesta di accesso e il Centro sicurezza Configura gruppi per consentire il traffico in ingresso alle porte selezionate per il periodo di tempo specificato.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. Gruppi tornare allo stato precedente all'ora di scadenza.NSGs return to their previous state when the time expires.
  • Controlli applicazione adattivi.Adaptive application controls. Proteggere il software e il malware dalle macchine virtuali controllando le applicazioni eseguite su di essi, usando gli elenchi di Consenti dinamici.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • I controlli delle applicazioni adattivi consentono di approvare le applicazioni e impedire a utenti non autorizzati o amministratori di installare applicazioni software non approvate o vagliare le macchine virtuali.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • È possibile bloccare o avvisare i tentativi di esecuzione di applicazioni dannose, evitare applicazioni indesiderate o dannose e garantire la conformità ai criteri di sicurezza delle applicazioni dell'organizzazione.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Monitoraggio dell'integrità dei file.File Integrity Monitoring. garantire l'integrità dei file in esecuzione nelle macchine virtuali.Ensure the integrity of files running on VMs.
    • Non è necessario installare software per causare problemi di macchina virtuale.You don't need to install software to cause VM issues. La modifica di un file di sistema può determinare un errore o una riduzione del livello delle prestazioni della macchina virtuale.Changing a system file can also cause VM failure or performance degradation. Il monitoraggio dell'integrità dei file esamina i file di sistema e le impostazioni del registro di sistema per le modifiche e avvisa l'utente se viene aggiornato un elemento.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Il Centro sicurezza segnala i file che è consigliabile monitorare.Security Center recommends which files you should monitor.

Ulteriori informazioni:Learn more:

Procedura consigliata: crittografare i datiBest practice: Encrypt data

La crittografia è un componente importante delle procedure di sicurezza di Azure.Encryption is an important part of Azure security practices. L'abilitazione della crittografia a tutti i livelli impedisce alle parti non autorizzate di ottenere l'accesso ai dati sensibili, inclusi i dati in movimento e inattivi.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Crittografia per l'infrastruttura distribuita come servizio (IaaS)Encryption for infrastructure as a service (IaaS)

  • Macchine virtuali: Per le macchine virtuali, è possibile usare crittografia dischi di Azure per crittografare i dischi delle macchine virtuali IaaS Windows e Linux.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • Crittografia dischi di Azure usa BitLocker per Windows e dm-crypt per Linux per fornire la crittografia del volume per il sistema operativo e i dischi dati.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • È possibile usare una chiave di crittografia creata da Azure oppure chiavi di crittografia personali, protette in Azure Key Vault.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Con crittografia dischi di Azure, i dati delle macchine virtuali IaaS vengono protetti a riposo (sul disco) e durante l'avvio della macchina virtuale.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Centro sicurezza di Azure invia un avviso se sono presenti macchine virtuali non crittografate.Azure Security Center alerts you if you have VMs that aren't encrypted.
  • Archiviazione: Proteggi i dati inattivi archiviati in archiviazione di Azure.Storage: Protect at-rest data stored in Azure Storage.
    • I dati archiviati negli account di archiviazione di Azure possono essere crittografati usando chiavi AES generate da Microsoft che siano conformi a FIPS 140-2 oppure è possibile usare le proprie chiavi.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • La crittografia di archiviazione di Azure è abilitata per tutti gli account di archiviazione nuovi ed esistenti e non può essere disabilitata.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Crittografia per la piattaforma distribuita come servizio (PaaS)Encryption for platform as a service (PaaS)

A differenza di IaaS, in cui si gestiscono le proprie macchine virtuali e l'infrastruttura, in una piattaforma del modello PaaS e l'infrastruttura viene gestita dal provider.Unlike IaaS, in which you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider. È possibile concentrarsi sulla logica e sulle funzionalità principali dell'applicazione.You can focus on core application logic and capabilities. Con così tanti tipi di servizi PaaS a disposizione, ogni servizio viene valutato singolarmente per motivi di sicurezza.With so many different types of PaaS services, each service is evaluated individually for security purposes. Come esempio, si può vedere come abilitare la crittografia per il database SQL di Azure.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: Usare la procedura guidata Always Encrypted in SQL Server Management Studio per proteggere i dati inattivi.Always Encrypted: Use the Always Encrypted Wizard in SQL Server Management Studio to protect data at rest.
    • Si crea una chiave di Always Encrypted per crittografare i dati delle singole colonne.You create an Always Encrypted key to encrypt individual column data.
    • Le chiavi Always Encrypted possono essere archiviate come crittografate nei metadati del database oppure in archivi chiavi attendibili, come Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Per usare questa funzionalità, è molto probabile che sia necessario apportare modifiche all'applicazione.Most likely, to use this feature, you'll need to make application changes.
  • Transparent Data Encryption: Proteggi il database SQL di Azure con la crittografia e la decrittografia in tempo reale del database, dei backup associati e dei file di log delle transazioni inattivi.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • Transparent Data Encryption consente di eseguire le attività di crittografia senza apportare modifiche a livello di applicazione.TDE allows encryption activities to take place without changes at the application layer.
    • Transparent Data Encryption può usare le chiavi di crittografia fornite da Microsoft oppure è possibile usare la propria chiave.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Ulteriori informazioni:Learn more:

Procedura consigliata: proteggere le macchine virtuali con antimalwareBest practice: Protect VMs with antimalware

In particolare, le macchine virtuali con migrazione di Azure precedenti potrebbero non avere il livello appropriato di antimalware installato.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure offre una soluzione di endpoint gratuita che consente di proteggere le macchine virtuali da virus, spyware e altri malware.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft antimalware per servizi cloud e macchine virtuali di Azure genera avvisi quando il software dannoso o indesiderato tenta di installarsi autonomamente.Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • Si tratta di una singola soluzione agente che viene eseguita in background, senza intervento umano.It's a single agent solution that runs in the background, without human intervention.

  • Nel centro sicurezza di Azure è possibile identificare facilmente le macchine virtuali in cui non è in esecuzione Endpoint Protection e installare Microsoft antimalware in base alle esigenze.In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft antimalware as needed.

    Screenshot di antimalware per le macchine virtuali. Figura 1: antimalware per le macchine virtuali.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

Ulteriori informazioni:Learn more:

Procedura consigliata: proteggere le app WebBest practice: Secure web apps

Con le app Web migrate si riscontrano un paio di problemi:Migrated web apps face a couple of issues:

  • La maggior parte delle applicazioni Web legacy tendono ad avere informazioni riservate nei file di configurazione.Most legacy web applications tend to have sensitive information inside configuration files. I file contenenti tali informazioni possono presentare problemi di sicurezza quando viene eseguito il backup delle applicazioni o quando il codice dell'applicazione viene archiviato o fuori dal controllo del codice sorgente.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Quando si esegue la migrazione di app Web che si trovano in una macchina virtuale, è probabile che il computer venga spostato da una rete locale e da un ambiente protetto da firewall a un ambiente con connessione Internet.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Assicurarsi di configurare una soluzione che svolga le stesse funzioni delle risorse di protezione locali.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure offre le soluzioni seguenti:Azure provides the following solutions:

  • Azure Key Vault: Attualmente, gli sviluppatori di app Web eseguono misure per garantire che le informazioni riservate non vengano divulgate da questi file.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Un metodo per proteggere le informazioni consiste nell'estrarle dai file e inserirle in Azure Key Vault.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • È possibile usare Key Vault per centralizzare l'archiviazione dei segreti dell'applicazione e controllare la distribuzione.You can use Key Vault to centralize storage of application secrets, and control their distribution. Evita la necessità di archiviare le informazioni di sicurezza nei file dell'applicazione.It avoids the need to store security information in application files.
    • Le applicazioni possono accedere in modo sicuro alle informazioni nell'insieme di credenziali usando URI, senza la necessità di codice personalizzato.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Azure Key Vault consente di bloccare l'accesso tramite i controlli di sicurezza di Azure e di implementare facilmente le chiavi in sequenza.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft non visualizza né estrae i dati.Microsoft doesn't see or extract your data.
  • Ambiente del servizio app per Power Apps: Se un'applicazione di cui si esegue la migrazione necessita di protezione aggiuntiva, è consigliabile aggiungere ambiente del servizio app e Web Application Firewall per proteggere le risorse dell'applicazione.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • Ambiente del servizio app offre un ambiente completamente isolato e dedicato per l'esecuzione di applicazioni, ad esempio app Web Windows e Linux, contenitori Docker, app per dispositivi mobili e app per le funzioni.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • È utile per le applicazioni con scalabilità molto elevata, richiedono isolamento e accesso alla rete sicuro o hanno un utilizzo elevato della memoria.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Web Application Firewall: Si tratta di una funzionalità di applicazione Azure gateway che offre una protezione centralizzata per le app Web.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Protegge le app Web senza richiedere modifiche del codice di back-end.It protects web apps without requiring back-end code modifications.
    • Protegge più app Web allo stesso tempo, dietro il gateway applicazione.It protects multiple web apps at the same time, behind Application Gateway.
    • È possibile monitorare il Web Application Firewall usando monitoraggio di Azure.You can monitor Web Application Firewall by using Azure Monitor. Il Web Application Firewall è integrato nel centro sicurezza di Azure.Web Application Firewall is integrated into Azure Security Center.

    Diagramma delle app Web Azure Key Vault e sicure. Figura 2: Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

Ulteriori informazioni:Learn more:

Procedura consigliata: esaminare le sottoscrizioni e le autorizzazioni per le risorseBest practice: Review subscriptions and resource permissions

Nel momento in cui si esegue la migrazione dei carichi di lavoro e li si esegue in Azure, il personale con accesso ai carichi di lavoro si sposta.As you migrate your workloads and run them in Azure, staff with workload access move around. Il team di sicurezza deve esaminare l'accesso ai gruppi di risorse e tenant di Azure a intervalli regolari.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure include offerte per la sicurezza con il controllo di accesso e la gestione delle identità, tra cui il controllo degli accessi in base al ruolo per consentire autorizzazioni di accesso alle risorse di Azure.Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • Il controllo degli accessi in base al ruolo assegna autorizzazioni di accesso per le entità di sicurezza.RBAC assigns access permissions for security principals. Le entità di sicurezza rappresentano utenti, gruppi (un set di utenti), entità servizio (identità usata da applicazioni e servizi) e identità gestite (un'identità Azure Active Directory gestita automaticamente da Azure).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • Il controllo degli accessi in base al ruolo può assegnare ruoli alle entità di sicurezza, ad esempio proprietario, collaboratore e lettore e definizioni di ruolo, ovvero una raccolta di autorizzazioni, che definiscono le operazioni che possono essere eseguite dai ruoli.RBAC can assign roles to security principals, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.
  • Il controllo degli accessi in base al ruolo può anche definire ambiti che impostano il limite per un ruolo.RBAC can also set scopes that set the boundary for a role. L'ambito può essere impostato a diversi livelli, tra cui un gruppo di gestione, una sottoscrizione, un gruppo di risorse o una risorsa.Scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Assicurarsi che gli amministratori con accesso ad Azure possano accedere solo alle risorse che si desidera consentire.Ensure that admins with Azure access can access only resources that you want to allow. Se i ruoli predefiniti in Azure non sono sufficientemente granulari, è possibile creare ruoli personalizzati per separare e limitare le autorizzazioni di accesso.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Assicurarsi che gli amministratori con accesso ad Azure possano accedere solo alle risorse che si desidera consentire.Ensure that admins with Azure access can access only resources that you want to allow. Se i ruoli predefiniti in Azure non sono sufficientemente granulari, è possibile creare ruoli personalizzati per separare e limitare le autorizzazioni di accesso.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Screenshot del controllo di accesso.Screenshot of Access control. Figura 3: controllo di accesso.Figure 3: Access control.

Ulteriori informazioni:Learn more:

Procedura consigliata: esaminare i registri di controllo e protezioneBest practice: Review audit and security logs

Azure Active Directory (Azure AD) offre log attività visualizzati in Monitoraggio di Azure.Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. I log acquisiscono le operazioni eseguite nella tenancy di Azure, il momento in cui si verificano e gli utenti che le eseguono.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • I log di controllo mostrano la cronologia delle attività nel tenant.Audit logs show the history of tasks in the tenant. I log attività di accesso indicano chi ha eseguito le attività.Sign-in activity logs show who carried out the tasks.

  • L'accesso ai report di sicurezza dipende dalla licenza Azure AD.Access to security reports depends on your Azure AD license. Con le licenze gratuite e Basic è possibile ottenere un elenco di utenti e accessi a rischio. Con le licenze Premium, si ottengono informazioni sugli eventi sottostanti.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • È possibile indirizzare i log attività a vari endpoint per garantire la conservazione a lungo termine e ottenere informazioni dettagliate sui dati.You can route activity logs to various endpoints for long-term retention and data insights.

  • Eseguire una procedura comune per esaminare i log o integrare gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) per rivedere automaticamente le anomalie.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Se non si usa una licenza Premium, sarà necessario eseguire una grande analisi o usare il sistema SIEM.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. L'analisi include la ricerca di accessi ed eventi a rischio e altri modelli di attacco degli utenti.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Screenshot di utenti e gruppi Azure AD. Figura 4: Azure ad utenti e gruppi.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

Ulteriori informazioni:Learn more:

Procedura consigliata: valutare altre funzionalità di sicurezzaBest practice: Evaluate other security features

Azure offre altre funzionalità che includono opzioni di sicurezza avanzate.Azure provides other security features that provide advanced security options. Si noti che alcune delle procedure consigliate seguenti richiedono licenze per i componenti aggiuntivi e opzioni Premium.Note that some of the following best practices require add-on licenses and premium options.

  • Implementare unità amministrative di Azure AD:Implement Azure AD administrative units (AU). delegare attività amministrative al personale del supporto può essere complicato semplicemente con il controllo di accesso di base di Azure.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Concedere l'accesso al personale del supporto per amministrare tutti i gruppi in Azure AD potrebbe non essere l'approccio ideale per la sicurezza dell'organizzazione.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. Mediante le unità amministrative è possibile separare le risorse di Azure in contenitori in modo analogo alle unità organizzative locali.Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). Per usare AU, l'amministratore AU deve avere una licenza di Azure AD Premium.To use AU, the AU admin must have a premium Azure AD license. Per ulteriori informazioni, vedere gestione delle unità amministrative in Azure Active Directory.For more information, see Administrative units management in Azure Active Directory.
  • Usare l'autenticazione a più fattori.Use multi-factor authentication. con una licenza Premium di Azure AD è possibile abilitare e applicare l'autenticazione a più fattori per gli account amministratore.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. Il phishing è il modo più comune con cui vengono compromesse le credenziali degli account.Phishing is the most common way that accounts credentials are compromised. Quando un attore malintenzionato ha le credenziali dell'account amministratore, non è possibile arrestarle da azioni di vasta portata, ad esempio l'eliminazione di tutti i gruppi di risorse.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. È possibile stabilire l'autenticazione a più fattori in diversi modi, ad esempio con la posta elettronica, con un'app di autenticazione e con SMS.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. L'amministratore può scegliere l'opzione meno intrusiva.As an administrator, you can select the least intrusive option. L'autenticazione a più fattori si integra con l'analisi delle minacce e i criteri di accesso condizionale per richiedere in modo casuale una risposta alla richiesta di autenticazione a più fattori.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Sono disponibili altre informazioni sulle indicazioni di sicurezza e su come configurare MFA.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementare l'accesso condizionale.Implement conditional access. Nelle organizzazioni di piccole e medie dimensioni, gli amministratori di Azure e il team di supporto si trovano probabilmente in una singola area geografica.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. In questo caso la maggior parte degli accessi proviene dalle stesse aree.In this case, most sign-ins come from the same areas. Se gli indirizzi IP di questi percorsi sono piuttosto statici, è opportuno non visualizzare gli accessi di amministratore dall'esterno di queste aree.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Anche se un attore malintenzionato remoto compromette le credenziali di un amministratore, è possibile implementare funzionalità di sicurezza come l'accesso condizionale, combinato con l'autenticazione a più fattori, per impedire l'accesso da posizioni remote.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Questo può anche impedire percorsi falsificati da indirizzi IP casuali.This can also prevent spoofed locations from random IP addresses. Per altre informazioni sull' accesso condizionale e sulle procedure consigliate per l'accesso condizionale, vedere Azure ad.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Esaminare le autorizzazioni per le applicazioni aziendali.Review enterprise application permissions. Nel corso del tempo, gli amministratori selezionano i collegamenti Microsoft e di terze parti senza conoscerne l'impatto sull'organizzazione.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. I collegamenti possono presentare schermate di consenso che assegnano le autorizzazioni per le app di Azure.Links can present consent screens that assign permissions to Azure apps. Questo potrebbe consentire l'accesso per leggere i dati Azure AD o persino l'accesso completo per gestire l'intera sottoscrizione di Azure.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. È necessario esaminare regolarmente le applicazioni a cui gli amministratori e gli utenti hanno consentito l'accesso alle risorse di Azure.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Assicurarsi che queste applicazioni dispongano solo delle autorizzazioni necessarie.Ensure that these applications have only the permissions that are necessary. Inoltre, trimestralmente o semestrale è possibile inviare tramite posta elettronica agli utenti un collegamento alle pagine dell'applicazione, in modo che siano consapevoli delle applicazioni a cui è consentito l'accesso ai dati aziendali.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Per altre informazioni, vedere applicazione imprevista nell'elenco delle applicazionie come controllare le assegnazioni di applicazioni in Azure ad.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Carichi di lavoro migrati gestitiManaged migrated workloads

Nelle sezioni seguenti sono consigliate alcune procedure consigliate per la gestione di Azure, tra cui:In the following sections, we'll recommend some best practices for Azure management, including:

  • procedure consigliate per risorse e gruppi di risorse di Azure, tra cui denominazione intelligente, come evitare eliminazioni accidentali, gestione delle autorizzazioni per le risorse e assegnazione efficace di tag alle risorse.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • ottenere una rapida panoramica dell'uso di progetti per creare e gestire gli ambienti di distribuzione.Get a quick overview on using blueprints for building and managing your deployment environments.
  • esaminare le architetture di esempio di Azure da cui apprendere nozioni durante la creazione di distribuzioni di post-migrazione.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • è possibile raccogliere più sottoscrizioni in gruppi di gestione e applicare impostazioni di governance a questi gruppi.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • applicare criteri di conformità alle risorse di Azure.Apply compliance policies to your Azure resources.
  • realizzare una strategia di continuità aziendale e ripristino di emergenza (BCDR) per mantenere i dati sicuri, l'ambiente resiliente e le risorse operative in caso di interruzioni.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • raggruppare le macchine virtuali in gruppi di disponibilità per disponibilità elevata e resilienza.Group VMs into availability groups for resilience and high availability. Usare dischi gestiti per semplificare la gestione dei dischi e dell'archiviazione delle macchine virtuali.Use managed disks for ease of VM disk and storage management.
  • abilitare la registrazione diagnostica per le risorse di Azure, creare avvisi e playbook per la risoluzione proattiva dei problemi e usare il dashboard di Azure per una vista unificata dell'integrità e dello stato della distribuzione.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • comprendere il piano di supporto tecnico di Azure e come implementarlo, apprendere le procedure consigliate per mantenere aggiornate le macchine virtuali e definire processi per la gestione delle modifiche.Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Procedura consigliata: assegnare un nome ai gruppi di risorseBest practice: Name resource groups

Assicurarsi che i gruppi di risorse abbiano nomi significativi che gli amministratori e i membri del team di supporto possono facilmente riconoscere e analizzare.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. Questo può migliorare notevolmente la produttività e l'efficienza.This can drastically improve productivity and efficiency.

Se si esegue la sincronizzazione dell'Active Directory locale per Azure AD usando Azure AD Connect, è consigliabile abbinare i nomi dei gruppi di sicurezza locali ai nomi dei gruppi di risorse in Azure.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Screenshot della denominazione dei gruppi di risorse.

Figura 5: denominazione dei gruppi di risorse.Figure 5: Resource group naming.

Ulteriori informazioni:Learn more:

Procedura consigliata: implementare i blocchi di eliminazione per i gruppi di risorseBest practice: Implement delete locks for resource groups

L'eliminazione accidentale di un gruppo di risorse è tutto fuorché un'esperienza piacevole.The last thing you need is for a resource group to disappear because it was deleted accidentally. Si consiglia di implementare i blocchi di eliminazione, in modo che questa operazione non avvenga.We recommend that you implement delete locks, so that this doesn't happen.

Screenshot dei blocchi Delete.

Figura 6: eliminare i blocchi.Figure 6: Delete locks.

Ulteriori informazioni:Learn more:

Procedura consigliata: informazioni sulle autorizzazioni di accesso alle risorseBest practice: Understand resource access permissions

Il proprietario di una sottoscrizione ha accesso a tutte le risorse e i gruppi di risorse al suo interno.A subscription owner has access to all the resource groups and resources in your subscription.

  • Aggiungere con moderazione utenti a questa utile assegnazione.Add people sparingly to this valuable assignment. Comprendere le implicazioni di questi tipi di autorizzazioni è importante per mantenere l'ambiente sicuro e stabile.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Verificare che le risorse vengano inserite nei gruppi appropriati:Make sure you place resources in appropriate resources groups:
    • Abbinare le risorse con un ciclo di vita simile.Match resources with a similar lifecycle together. In teoria non dovrebbe essere necessario spostare una risorsa quando è necessario eliminare un intero gruppo di risorse.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Le risorse che supportano una funzione o un carico di lavoro devono essere posizionate insieme per semplificare la gestione.Resources that support a function or workload should be placed together for simplified management.

Ulteriori informazioni:Learn more:

Procedura consigliata: contrassegnare le risorse in modo efficaceBest practice: Tag resources effectively

Spesso, l'uso di un solo nome di gruppo di risorse correlato alle risorse non fornirà metadati sufficienti per un'implementazione efficace dei meccanismi, ad esempio la fatturazione interna o la gestione in una sottoscrizione.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Come procedura consigliata, usare i tag di Azure per aggiungere metadati utili su cui è possibile eseguire query e report.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • I tag offrono un modo per organizzare in modo logico le risorse con proprietà definite dall'utente.Tags provide a way to logically organize resources with properties that you define. I tag possono essere applicati direttamente alle risorse o a gruppi di risorse.Tags can be applied to resource groups or resources directly.

  • I tag possono essere applicati a un gruppo di risorse o a singole risorse.Tags can be applied on a resource group or on individual resources. I tag di gruppi di risorse non vengono ereditati dalle risorse nel gruppo.Resource group tags aren't inherited by the resources in the group.

  • È possibile automatizzare l'assegnazione di tag tramite PowerShell o automazione di Azure oppure contrassegnare singoli gruppi e risorse.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • In presenza di un sistema di gestione delle richieste e delle modifiche, è possibile usare facilmente le informazioni nella richiesta per popolare i tag di risorse specifici dell'azienda.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Screenshot dell'assegnazione di tag. Figura 7: assegnazione di tag.Screenshot of tagging. Figure 7: Tagging.

Ulteriori informazioni:Learn more:

Procedura consigliata: implementare progettiBest practice: Implement blueprints

Così come un progetto consente ai tecnici e ai progettisti di disegnare i parametri di progettazione di un progetto, il servizio Azure Blueprints consente agli architetti di cloud e ai gruppi IT centrali di definire un set ripetibile di risorse di Azure.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Ciò consente di implementare e rispettare gli standard, i modelli e i requisiti di un'organizzazione.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Usando i progetti di Azure, i team di sviluppo possono creare e creare rapidamente nuovi ambienti che soddisfino i requisiti di conformità dell'organizzazione.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Questi nuovi ambienti hanno un set di componenti predefiniti, ad esempio la rete, per velocizzare lo sviluppo e il recapito.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Usare i progetti per orchestrare la distribuzione di gruppi di risorse, modelli di Azure Resource Manager e assegnazioni di ruoli e criteri.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Archiviare i progetti in un servizio distribuito a livello globale, Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. Gli oggetti del progetto vengono replicati in più aree di Azure.Blueprint objects are replicated to multiple Azure regions. La replica offre bassa latenza, disponibilità elevata e accesso coerente a un progetto, indipendentemente dall'area in cui un progetto distribuisce le risorse.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

Ulteriori informazioni:Learn more:

Procedura consigliata: esaminare le architetture di riferimento di AzureBest practice: Review Azure reference architectures

Creare carichi di lavoro sicuri, scalabili e gestibili in Azure può risultare complicato.Building secure, scalable, and manageable workloads in Azure can be daunting. Con modifiche continue può essere difficile tenere il passo con le varie funzionalità per un ambiente ottimale.With continual changes, it can be difficult to keep up with different features for an optimal environment. Può essere utile avere un riferimento durante la progettazione e la migrazione dei carichi di lavoro.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure e i suoi partner hanno realizzato varie architetture di riferimento di esempio per tipi di ambienti diversi.Azure and Azure partners have built several sample reference architectures for various types of environments. Questi esempi sono progettati per sfruttare idee da cui partire e su cui basarsi.These samples are designed to provide ideas that you can learn from and build on.

Le architetture di riferimento sono organizzate in base allo scenario.Reference architectures are arranged by scenario. Contengono procedure consigliate e consigli su gestione, disponibilità, scalabilità e sicurezza.They contain best practices and advice on management, availability, scalability, and security. Ambiente del servizio app offre un ambiente completamente isolato e dedicato per l'esecuzione di applicazioni, ad esempio app Web Windows e Linux, contenitori Docker, app per dispositivi mobili e funzioni.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. Il servizio app aggiunge la potenza di Azure all'applicazione in termini di sicurezza, bilanciamento del carico, ridimensionamento automatico e gestione automatizzata.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. È anche possibile usufruire delle funzionalità DevOps, come la distribuzione continua da Azure DevOps e GitHub, la gestione dei pacchetti, gli ambienti di gestione temporanea, il dominio personalizzato e i certificati SSL.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. Il servizio app è utile per le applicazioni che necessitano di isolamento e accesso sicuro alla rete e quelle che usano quantità elevate di memoria e altre risorse che devono essere ridimensionate.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Ulteriori informazioni:Learn more:

Procedura consigliata: gestire le risorse con i gruppi di gestione di AzureBest practice: Manage resources with Azure management groups

Se un'organizzazione ha più sottoscrizioni, è necessario gestirne accesso, criteri e conformità.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. I gruppi di gestione di Azure forniscono un livello di ambito oltre le sottoscrizioni.Azure management groups provide a level of scope above subscriptions. Ecco alcuni suggerimenti:Here are some tips:

  • Le sottoscrizioni sono organizzate in contenitori chiamati gruppi di gestione a cui vengono applicate condizioni di governance.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni del gruppo di gestione.All subscriptions in a management group automatically inherit the management group conditions.
  • I gruppi di gestione offrono una gestione di livello aziendale su larga scala, a prescindere dal tipo di sottoscrizione.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • È ad esempio possibile applicare criteri di gruppi di gestione che limitano le aree in cui è possibile creare macchine virtuali.For example, you can apply a management group policy that limits the regions in which VMs can be created. Questi criteri verranno applicati a tutti i gruppi di gestione, a tutte le sottoscrizioni e a tutte le risorse all'interno del gruppo di gestione.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni, in modo da organizzare le risorse in una gerarchia per la gestione unificata di accesso e criteri.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Il diagramma seguente illustra un esempio di creazione di una gerarchia per la governance usando i gruppi di gestione.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagramma dei gruppi di gestione.Diagram of management groups. Figura 8: gruppi di gestione.Figure 8: Management groups.

Ulteriori informazioni:Learn more:

Procedura consigliata: distribuire criteri di AzureBest practice: Deploy Azure Policy

Criteri di Azure è un servizio che consente di creare, assegnare e gestire criteri.Azure Policy is a service that you use to create, assign, and manage policies. I criteri applicano regole e effetti differenti sulle risorse, in modo che le risorse siano conformi agli standard aziendali e ai contratti di servizio.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Criteri di Azure valuta le risorse, individuando quelle non conformi ai criteri.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Ad esempio, è possibile creare un criterio che consenta solo una specifica dimensione dello SKU per le macchine virtuali nell'ambiente in uso.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. I criteri di Azure valuteranno questa impostazione quando si creano e si aggiornano le risorse e quando si analizzano le risorse esistenti.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Si noti che Azure fornisce alcuni criteri predefiniti che è possibile assegnare oppure è possibile crearne di personalizzati.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Screenshot dei criteri di Azure.Screenshot of Azure Policy. Figura 9: criteri di Azure.Figure 9: Azure Policy.

Ulteriori informazioni:Learn more:

Procedura consigliata: implementare una strategia BCDRBest practice: Implement a BCDR strategy

La pianificazione della continuità aziendale e del ripristino di emergenza (BCDR) è un esercizio fondamentale da completare come parte del processo di pianificazione della migrazione di Azure.Planning for business continuity and disaster recovery (BCDR) is a critical exercise that you should complete as part of your Azure migration planning process. In termini legali, i contratti possono includere una clausola di forza maggiore che giustifica gli obblighi a causa di una forza maggiore, ad esempio uragani o terremoti.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. Tuttavia, si hanno anche obblighi per la capacità di garantire che i servizi continuino a essere eseguiti e il recupero laddove necessario, in caso di emergenza.But you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strikes. La capacità di garantire o meno questo servizio determina il futuro dell'azienda.Your ability to do this can make or break your company's future.

A livello generale, una strategia BCDR deve considerare:Broadly, your BCDR strategy must consider:

  • Backup dei dati: Come garantire la sicurezza dei dati in modo che sia possibile ripristinarli facilmente se si verificano interruzioni.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Ripristino di emergenza: Come rendere resilienti e disponibili le applicazioni se si verificano interruzioni.Disaster recovery: How to keep your applications resilient and available if outages occur.

Configurare BCDRSet up BCDR

Quando si esegue la migrazione ad Azure, è importante comprendere che anche se la piattaforma Azure offre alcune funzionalità di resilienza predefinite, è necessario progettare la distribuzione di Azure per sfruttarne i vantaggi.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • La soluzione BCDR dipenderà dagli obiettivi aziendali e sarà influenzata dalla strategia di distribuzione di Azure.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. Le distribuzioni IaaS (Infrastructure as a service, infrastruttura distribuita come servizio) e PaaS (Platform as a service, piattaforma distribuita come servizio) presentano problematiche diverse in termini di BCDR.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • Una volta attivate, le soluzioni BCDR devono essere testate regolarmente per verificare che la strategia rimanga valida.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Eseguire il backup di una distribuzione IaaSBack up an IaaS deployment

Nella maggior parte dei casi un carico di lavoro locale viene ritirato dopo la migrazione e la strategia locale per il backup dei dati deve essere estesa o sostituita.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Se si esegue la migrazione dell'intero data center in Azure, sarà necessario progettare e implementare una soluzione di backup completo usando le tecnologie di Azure o soluzioni integrate di terze parti.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Per i carichi di lavoro in esecuzione in macchine virtuali IaaS di Azure considerare queste soluzioni di backup:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Backup di Azure: Fornisce backup coerenti con l'applicazione per le macchine virtuali Windows e Linux di Azure.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Snapshot di archiviazione: Acquisisce snapshot dell'archiviazione BLOB.Storage snapshots: Takes snapshots of Blob storage.

Backup di AzureAzure Backup

Backup di Azure crea punti di ripristino dei dati archiviati in archiviazione di Azure.Azure Backup creates data recovery points that are stored in Azure Storage. Backup di Azure può eseguire il backup di dischi di macchine virtuali e file di Azure (anteprima).Azure Backup can back up Azure VM disks, and Azure Files (preview). File di Azure fornire condivisioni file nel cloud, accessibili tramite Server Message Block.Azure Files provide file shares in the cloud, accessible via Server Message Block.

È possibile usare backup di Azure per eseguire il backup delle macchine virtuali nei modi seguenti:You can use Azure Backup to back up VMs in the following ways:

  • Backup diretto dalle impostazioni della macchina virtuale:Direct backup from VM settings. è possibile eseguire il backup di macchine virtuali con Backup di Azure direttamente dalle opzioni per macchine virtuali nel portale di Azure.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. È possibile eseguire il backup della VM una volta al giorno ed è possibile ripristinare il disco della macchina virtuale in base alle esigenze.You can back up the VM once per day, and you can restore the VM disk as needed. Backup di Azure accetta snapshot dei dati compatibili con le app e nessun agente è installato nella macchina virtuale.Azure Backup takes app-aware data snapshots, and no agent is installed on the VM.
  • Backup diretto in un insieme di credenziali di Servizi di ripristino:Direct backup in a Recovery Services vault. è possibile eseguire il backup delle macchine virtuali IaaS mediante la distribuzione di un insieme di credenziali di Servizi di ripristino di Backup di Azure.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. In questo modo viene fornita un'unica posizione per tenere traccia e gestire i backup, oltre a opzioni di backup e ripristino granulari.This provides a single location to track and manage backups, as well as granular backup and restore options. Il backup è costituito da un massimo di tre volte al giorno, a livello di file e cartella.Backup is up to three times a day, at the file and folder levels. Non è compatibile con le app e Linux non è supportato.It isn't app-aware, and Linux isn't supported. Installare l'agente di Servizi di ripristino di Microsoft Azure (MARS) in ogni macchina virtuale di cui si vuole eseguire il backup usando questo metodo.Install the Microsoft Azure Recovery Services (MARS) agent on each VM that you want to back up by using this method.
  • Proteggere la macchina virtuale nel server di backup di Azure.Protect the VM to Azure Backup server. Il server di backup di Azure è disponibile gratuitamente con backup di Azure.Azure Backup server is provided free with Azure Backup. Viene eseguito il backup della macchina virtuale nell'archiviazione locale del server di backup di Azure.The VM is backed up to local Azure Backup server storage. Viene quindi eseguito il backup del server di backup di Azure in Azure in un insieme di credenziali.You then back up the Azure Backup server to Azure in a vault. La funzionalità di backup è compatibile con le app, con granularità completa su frequenza e conservazione dei backup.Backup is app-aware, with full granularity over backup frequency and retention. È possibile eseguire il backup a livello di applicazione, ad esempio eseguendo il backup SQL Server o SharePoint.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Per la sicurezza, backup di Azure crittografa i dati in fase di esecuzione usando AES-256.For security, Azure Backup encrypts data in-flight by using AES-256. Invia il protocollo tramite HTTPS ad Azure.It sends it over HTTPS to Azure. Il backup dei dati inattivi in Azure viene crittografato usando la crittografia di archiviazione di Azure.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Screenshot di backup di Azure. Figura 10: backup di Azure.Screenshot of Azure Backup. Figure 10: Azure Backup.

Ulteriori informazioni:Learn more:

Snapshot di archiviazioneStorage snapshots

Le macchine virtuali di Azure vengono archiviate come BLOB di pagine in Archiviazione di Azure.Azure VMs are stored as page blobs in Azure Storage. Gli snapshot acquisiscono lo stato del BLOB in un dato momento.Snapshots capture the blob state at a specific point in time. Come metodo di backup alternativo per i dischi di macchine virtuali di Azure è possibile creare uno snapshot del BLOB di archiviazione e copiarlo in un altro account di archiviazione.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

È possibile copiare un intero BLOB oppure usare una copia di snapshot incrementale per copiare solo le modifiche differenziali e ridurre lo spazio di archiviazione.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Come precauzione aggiuntiva, è possibile abilitare l'eliminazione temporanea per gli account di archiviazione BLOB.As an extra precaution, you can enable soft delete for Blob storage accounts. Se questa funzionalità è abilitata, un BLOB eliminato viene contrassegnato per l'eliminazione, ma non viene eliminato immediatamente.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Durante il periodo intermedio, è possibile ripristinare il BLOB.During the interim period, you can restore the blob.

Ulteriori informazioni:Learn more:

Backup di terze partiThird-party backup

È anche possibile usare soluzioni di terze parti per eseguire il backup di macchine virtuali di Azure e contenitori di archiviazione nella risorsa di archiviazione locale o in altri provider di servizi cloud.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Per altre informazioni, vedere soluzioni di backup in Azure Marketplace.For more information, see Backup solutions in Azure Marketplace.

Configurare il ripristino di emergenza per le applicazioni IaaSSet up disaster recovery for IaaS applications

Oltre a proteggere i dati, la pianificazione BCDR deve considerare come tenere disponibili le applicazioni e i carichi di lavoro in caso di emergenza.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Per i carichi di lavoro in esecuzione in macchine virtuali IaaS di Azure e archiviazione di Azure, prendere in considerazione le soluzioni riportate nelle sezioni seguenti.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery è il servizio di Azure primario per garantire che le macchine virtuali di Azure possano essere portate online e le applicazioni VM rese disponibili, quando si verificano interruzioni.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery replica le VM da un primario a un'area di Azure secondaria.Site Recovery replicates VMs from a primary to a secondary Azure region. In caso di emergenza, le VM vengono interrotte dall'area primaria e continuano ad accedervi normalmente nell'area secondaria.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Al ripristino delle normali condizioni eseguire nuovamente il failback delle macchine virtuali all'area primaria.When operations return to normal, you can fail back VMs to the primary region.

Diagramma di Azure Site Recovery.Diagram of Azure Site Recovery. Figura 11: Site Recovery.Figure 11: Site Recovery.

Ulteriori informazioni:Learn more:

Procedura consigliata: usare Managed disks e i set di disponibilitàBest practice: Use managed disks and availability sets

Azure usa i set di disponibilità per raggruppare a livello logico le macchine virtuali e isolare le macchine in un set da altre risorse.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Le macchine virtuali in un set di disponibilità vengono distribuite tra più domini di errore con sottosistemi distinti, che proteggono dagli errori locali.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. Anche le macchine virtuali vengono distribuite in più domini di aggiornamento, impedendo il riavvio simultaneo di tutte le macchine virtuali nel set.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Azure Managed disks semplifica la gestione dei dischi per le macchine virtuali di Azure gestendo gli account di archiviazione associati ai dischi delle VM.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Usare i dischi gestiti laddove possibile.Use managed disks wherever possible. È sufficiente specificare il tipo di archiviazione che si vuole usare e le dimensioni del disco necessario e Azure crea e gestisce il disco per l'utente.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • È possibile convertire i dischi esistenti in Managed Disks.You can convert existing disks to managed disks.

  • È consigliabile creare macchine virtuali in set di disponibilità per disponibilità e resilienza elevate.You should create VMs in availability sets for high resilience and availability. Quando si verificano interruzioni pianificate o non pianificate, i set di disponibilità assicurano che almeno una macchina virtuale nel set rimanga disponibile.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagramma dei dischi gestiti. Figura 12: Managed Disks.Diagram of managed disks. Figure 12: Managed disks.

Ulteriori informazioni:Learn more:

Procedura consigliata: monitorare l'utilizzo e le prestazioni delle risorseBest practice: Monitor resource usage and performance

Si potrebbe decidere di spostare carichi di lavoro in Azure per via delle sue notevoli funzionalità di ridimensionamento.You might have moved your workloads to Azure for its immense scaling capabilities. Tuttavia, lo stato del carico di lavoro non significa che Azure implementerà automaticamente il ridimensionamento senza l'input.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Di seguito sono riportati due esempi:Here are two examples:

  • Se l'organizzazione di marketing effettua il push di un nuovo annuncio televisivo che esegue il 300 percento di traffico, ciò potrebbe causare problemi di disponibilità del sito.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. È possibile che il carico di lavoro appena migrato riscontri limiti assegnati e arresti anomali.Your newly migrated workload might hit assigned limits, and crash.
  • Se si verifica un attacco di tipo Denial of Service (DDoS) distribuito al carico di lavoro migrato, in questo caso non si vuole ridimensionare.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Si vuole impedire che l'origine degli attacchi raggiunga le risorse.You want to prevent the source of the attacks from reaching your resources.

Questi due casi hanno risoluzioni diverse, ma per entrambi è necessario approfondire il funzionamento del monitoraggio dell'utilizzo e delle prestazioni.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Monitoraggio di Azure può semplificare la superficie di queste metriche e fornire risposte con avvisi, scalabilità automatica, Hub eventi e app per la logica.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, event hubs, and logic apps.

  • È anche possibile integrare l'applicazione SIEM di terze parti per monitorare i log di Azure per gli eventi di controllo e prestazioni.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Screenshot di monitoraggio di Azure. Figura 13: monitoraggio di Azure.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

Ulteriori informazioni:Learn more:

Procedura consigliata: abilitare la registrazione diagnosticaBest practice: Enable diagnostic logging

Le risorse di Azure generano un numero notevole di metriche di registrazione e dati di telemetria.Azure resources generate a fair number of logging metrics and telemetry data. Per impostazione predefinita, nella maggior parte dei tipi di risorsa non è abilitata la registrazione diagnostica.By default, most resource types don't have diagnostic logging enabled. Abilitando la registrazione diagnostica in tutte le risorse, è possibile eseguire query sui dati di registrazione e creare avvisi e playbook di conseguenza.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Quando si abilita la registrazione diagnostica, ogni risorsa avrà un set specifico di categorie.When you enable diagnostic logging, each resource will have a specific set of categories. Selezionare una o più categorie di registrazione e una posizione per i dati di log.You select one or more logging categories, and a location for the log data. I log possono essere inviati a un account di archiviazione, un hub eventi o log di Monitoraggio di Azure.Logs can be sent to a storage account, event hub, or to Azure Monitor logs.

Screenshot della registrazione diagnostica. Figura 14: registrazione diagnostica.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

Ulteriori informazioni:Learn more:

Procedura consigliata: impostare avvisi e PlayBookBest practice: Set up alerts and playbooks

Con la registrazione diagnostica abilitata per le risorse di Azure è possibile iniziare a usare i dati di registrazione per creare avvisi personalizzati.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Gli avvisi inviano notifiche in modo proattivo quando vengono riscontrate alcune condizioni nei dati di monitoraggio.Alerts proactively notify you when conditions are found in your monitoring data. È quindi possibile risolvere i problemi prima che gli utenti del sistema se ne accorgano.You can then address issues before system users notice them. È possibile segnalare i valori delle metriche, le query di ricerca nei log, gli eventi del log attività, l'integrità della piattaforma e la disponibilità del sito Web.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • Quando gli avvisi vengono attivati, è possibile eseguire un playbook di app per la logica.When alerts are triggered, you can run a logic app playbook. Un playbook consente di automatizzare e orchestrare una risposta a un avviso specifico.A playbook helps you to automate and orchestrate a response to a specific alert. I playbook sono basati su App per la logica di Azure.Playbooks are based on Azure Logic Apps. È possibile usare i modelli di app per la logica per creare PlayBook o crearne di personalizzati.You can use logic app templates to create playbooks, or create your own.

  • Un esempio semplice è rappresentato dalla possibilità di creare un avviso che si attiva quando si verifica l'analisi di una porta rispetto a un gruppo di sicurezza di rete.As a simple example, you can create an alert that triggers when a port scan happens against a network security group. È possibile configurare un playbook che esegua e blocchi l'indirizzo IP dell'origine dell'analisi.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Un altro esempio è un'applicazione con una perdita di memoria.Another example is an application with a memory leak. Quando l'uso della memoria raggiunge una determinata soglia, un playbook può riciclare il processo.When the memory usage gets to a certain point, a playbook can recycle the process.

    Screenshot degli avvisi. Figura 15: avvisi.Screenshot of alerts. Figure 15: Alerts.

Ulteriori informazioni:Learn more:

Procedura consigliata: usare il dashboard di AzureBest practice: Use the Azure dashboard

Il portale di Azure è una console unificata basata sul Web che consente di creare, gestire e monitorare qualsiasi elemento, da semplici app Web ad applicazioni cloud complesse.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Include un dashboard personalizzabile e opzioni per l'accessibilità.It includes a customizable dashboard and accessibility options.

  • È possibile creare più dashboard e condividerli con altri utenti che hanno accesso alle sottoscrizioni di Azure.You can create multiple dashboards, and share them with others who have access to your Azure subscriptions.

  • Con questo modello condiviso il team ha visibilità sull'ambiente di Azure e riesce ad essere proattivo nella gestione dei sistemi nel cloud.With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Screenshot del dashboard di Azure. Figura 16: dashboard di Azure.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

Ulteriori informazioni:Learn more:

Procedura consigliata: comprendere i piani di supportoBest practice: Understand support plans

A un certo punto sarà necessario collaborare con il personale del supporto tecnico dell'azienda o di Microsoft.At some point, you will need to collaborate with your support staff or Microsoft support staff. È fondamentale disporre di un set di criteri e procedure per il supporto in uno scenario come quello di un ripristino di emergenza.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. È anche consigliabile garantire il training agli amministratori e al personale del supporto tecnico sull'implementazione di questi criteri.In addition, your admins and support staff should be trained on implementing those policies.

  • Nel caso improbabile che un problema di servizio di Azure influisca sul carico di lavoro, gli amministratori devono essere in grado di inviare un ticket di supporto a Microsoft nel modo più efficiente e appropriato.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Acquisire familiarità con i vari piani di supporto offerti per Azure,Familiarize yourself with the various support plans offered for Azure. Variano in base ai tempi di risposta dedicati alle istanze dello sviluppatore, al supporto Premier con tempi di risposta inferiori a 15 minuti.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Screenshot dei piani di supporto. Figura 17: piani di supporto.Screenshot of support plans. Figure 17: Support plans.

Ulteriori informazioni:Learn more:

Procedura consigliata: gestire gli aggiornamentiBest practice: Manage updates

Garantire gli aggiornamenti software e del sistema operativo più recenti per le macchine virtuali di Azure è un'incombenza significativa.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. La possibilità di esporre tutte le macchine virtuali, determinare gli aggiornamenti necessari e il push automatico degli aggiornamenti è estremamente utile.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • È possibile usare Gestione aggiornamenti in automazione di Azure per gestire gli aggiornamenti del sistema operativo.You can use update management in Azure Automation to manage operating system updates. Questo vale per i computer che eseguono computer Windows e Linux distribuiti in Azure, in locale e in altri provider di servizi cloud.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Utilizzare Gestione aggiornamenti per valutare rapidamente lo stato degli aggiornamenti disponibili in tutti i computer agente e gestire l'installazione degli aggiornamenti.Use update management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • È possibile abilitare la gestione degli aggiornamenti per le macchine virtuali direttamente da un account di automazione di Azure.You can enable update management for VMs directly from an Azure Automation account. È anche possibile aggiornare una singola macchina virtuale dalla relativa pagina nel portale di Azure.You can also update a single VM from the VM page in the Azure portal.

  • Inoltre, è possibile registrare le VM di Azure con System Center Configuration Manager.In addition, you can register Azure VMs with System Center Configuration Manager. È quindi possibile eseguire la migrazione del carico di lavoro Configuration Manager ad Azure ed eseguire la creazione di report e gli aggiornamenti software da una singola interfaccia Web.You can then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    Diagramma degli aggiornamenti della macchina virtuale. Figura 18: aggiornamenti.Diagram of VM updates. Figure 18: Updates.

Ulteriori informazioni:Learn more:

Implementare un processo di gestione delle modificheImplement a change management process

Come in qualsiasi sistema di produzione, qualsiasi tipo di modifica può avere ripercussioni sull'ambiente.As with any production system, making any type of change can affect your environment. Un processo di gestione delle modifiche che prevede l'invio di richieste per poter apportare modifiche ai sistemi di produzione rappresenta una valida aggiunta a un ambiente migrato.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • È possibile creare framework di procedure consigliate per la gestione delle modifiche al fine di sensibilizzare amministratori e personale del supporto.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • È possibile usare Automazione di Azure per facilitare la gestione della configurazione e il rilevamento delle modifiche per i flussi di lavoro migrati.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • Quando si applica il processo di gestione delle modifiche, è possibile usare i log di controllo per collegare i log delle modifiche di Azure alle richieste di modifica esistenti.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Quindi, se viene visualizzata una modifica apportata senza una richiesta di modifica corrispondente, è possibile individuare il problema che si è verificato nel processo.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure offre una soluzione di rilevamento delle modifiche in automazione di Azure:Azure has a change-tracking solution in Azure Automation:

  • La soluzione rileva le modifiche apportate al software e ai file di Windows e Linux, alle chiavi del Registro di sistema, ai servizi di Windows e ai daemon Linux.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Le modifiche apportate ai server monitorati vengono inviate a monitoraggio di Azure per l'elaborazione.Changes on monitored servers are sent to Azure Monitor for processing.

  • Viene applicata la logica ai dati ricevuti, che vengono quindi registrati dal servizio cloud.Logic is applied to the received data, and the cloud service records the data.

  • Nel dashboard Change Tracking è possibile visualizzare facilmente le modifiche apportate all'infrastruttura server.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Screenshot della gestione delle modifiche. Figura 19: gestione delle modifiche.Screenshot of change management. Figure 19: Change management.

Ulteriori informazioni:Learn more:

Passaggi successiviNext steps

Esaminare altre procedure consigliate:Review other best practices: