Incorporare le procedure Zero Trust nella zona di destinazione

Zero Trust è una strategia di sicurezza in cui si incorporano prodotti e servizi nella progettazione e nell'implementazione per rispettare i principi di sicurezza seguenti:

• Verificare in modo esplicito: autenticare e autorizzare l'accesso in base a tutti i punti dati disponibili.

• Usare l'accesso con privilegi minimi: limitare gli utenti all'accesso just-enough e usare gli strumenti per fornire l'accesso JIT con considerazioni ai criteri adattivi basati sui rischi.

• Presupporre una violazione: ridurre al minimo il raggio di esplosione e l'accesso segmento, cercare in modo proattivo le minacce e migliorare continuamente le difese.

Se l'organizzazione rispetta la strategia Zero Trust, è necessario incorporare gli obiettivi di distribuzione specifici di Zero Trust nelle aree di progettazione della zona di destinazione. La zona di destinazione è la base dei carichi di lavoro in Azure, quindi è importante preparare la zona di destinazione per l'adozione di Zero Trust.

Questo articolo fornisce indicazioni per l'integrazione di procedure Zero Trust nella zona di destinazione e spiega dove rispettare i principi Zero Trust richiede soluzioni esterne alla zona di destinazione.

Pilastri Zero Trust e aree di progettazione della zona di destinazione

Quando si implementano le procedure Zero Trust nella distribuzione della zona di destinazione di Azure, è consigliabile iniziare prendendo in considerazione le linee guida Zero Trust per ogni area di progettazione della zona di destinazione.

Per considerazioni sulla progettazione di una zona di destinazione e indicazioni per decisioni critiche in ogni area, vedere Aree di progettazione della zona di destinazione di Azure.

Il modello Zero Trust ha pilastri organizzati in base ai concetti e agli obiettivi di distribuzione. Per altre informazioni, vedere Distribuzione di soluzioni Zero Trust.

Questi pilastri forniscono obiettivi di distribuzione specifici che consentono alle organizzazioni di allinearsi ai principi Zero Trust. Questi obiettivi vanno oltre le configurazioni tecniche. Ad esempio, il pilastro della rete ha un obiettivo di distribuzione per la segmentazione di rete. L'obiettivo non fornisce informazioni su come configurare reti isolate in Azure, ma offre invece indicazioni per la creazione del modello di architettura. Esistono altre decisioni di progettazione da prendere in considerazione quando si implementa un obiettivo di distribuzione.

Il diagramma seguente illustra le aree di progettazione della zona di destinazione.

La tabella seguente correla i pilastri Zero Trust alle aree di progettazione illustrate nell'architettura.

Legenda	Area di progettazione della zona di destinazione	Pilastro Zero Trust
	Fatturazione di Azure e tenant di Microsoft Entra	Pilastro identità
	Gestione delle identità e degli accessi	Pilastro identità, Pilastro delle applicazioni, Pilastro dei dati
	Organizzazione delle risorse	Pilastro identità
	Governance	Pilastro visibilità, automazione e orchestrazione
	Gestione	Pilastro endpoint, Pilastro delle applicazioni, Pilastro dati, Pilastro dell'infrastruttura
	Topologia di rete e connettività	Pilastro reti
	Sicurezza	Tutti i pilastri zero trust
	Automazione della piattaforma e DevOps	Pilastro visibilità, automazione e orchestrazione

Non tutti gli obiettivi di distribuzione Zero Trust fanno parte di una zona di destinazione. Molti obiettivi di distribuzione Zero Trust sono per la progettazione e il rilascio di singoli carichi di lavoro in Azure.

Le sezioni seguenti esaminano ogni pilastro e forniscono considerazioni e raccomandazioni per l'implementazione degli obiettivi di distribuzione.

Identità sicura

Per informazioni sugli obiettivi di distribuzione per la protezione dell'identità, vedere Protezione dell'identità con Zero Trust. Per implementare questi obiettivi di distribuzione, è possibile applicare la federazione delle identità, l'accesso condizionale, la governance delle identità e le operazioni dei dati in tempo reale.

Considerazioni sull'identità

• È possibile usare le implementazioni di riferimento della zona di destinazione di Azure per distribuire risorse che estendono la piattaforma di identità esistente in Azure e gestire la piattaforma delle identità implementando le procedure consigliate di Azure.

• È possibile configurare molti dei controlli per le procedure Zero Trust nel tenant di Microsoft Entra. È anche possibile controllare l'accesso a Microsoft 365 e ad altri servizi cloud che usano Microsoft Entra ID.

• È necessario pianificare i requisiti di configurazione oltre a ciò che si trova nella zona di destinazione di Azure.

Raccomandazioni per l'identità

• Sviluppare un piano per la gestione delle identità in Microsoft Entra ID che vanno oltre le risorse di Azure. Ad esempio, è possibile usare:

  • Federazione con sistemi di gestione delle identità locali.
  • Criteri di accesso condizionale.
  • Informazioni sull'utente, sul dispositivo, sulla posizione o sul comportamento per l'autorizzazione.

• Distribuire la zona di destinazione di Azure con sottoscrizioni separate per le risorse di identità, ad esempio i controller di dominio, in modo da poter proteggere meglio l'accesso alle risorse.

• Usare le identità gestite di Microsoft Entra laddove possibile.

Endpoint sicuri

Per informazioni sugli obiettivi di distribuzione per la protezione degli endpoint, vedere Proteggere gli endpoint con Zero Trust. Per implementare questi obiettivi di distribuzione, è possibile:

• Registrare gli endpoint con provider di identità cloud per fornire l'accesso alle risorse esclusivamente tramite endpoint e app conformi al cloud.

• Applicare la prevenzione della perdita dei dati (DLP) e il controllo di accesso sia per i dispositivi aziendali che per i dispositivi personali registrati nei programmi BYOD (Bring Your Own Device ).

• Monitorare il rischio del dispositivo per l'autenticazione con il rilevamento delle minacce degli endpoint.

Considerazioni sugli endpoint

• Gli obiettivi di distribuzione degli endpoint sono destinati ai dispositivi di calcolo degli utenti finali, ad esempio portatili, computer desktop e dispositivi mobili.

• Quando si adottano le procedure Zero Trust per gli endpoint, è necessario implementare soluzioni in Azure e all'esterno di Azure.

• È possibile usare strumenti, ad esempio Microsoft Intune e altre soluzioni di gestione dei dispositivi, per realizzare gli obiettivi di distribuzione.

• Se si hanno endpoint in Azure, ad esempio in Desktop virtuale Azure, è possibile registrare l'esperienza client in Intune e applicare criteri e controlli di Azure per limitare l'accesso all'infrastruttura.

Raccomandazioni per gli endpoint

• Sviluppare un piano per la gestione degli endpoint con procedure Zero Trust, oltre ai piani per implementare una zona di destinazione di Azure.

• Per altre informazioni su dispositivi e server, vedere Infrastruttura sicura.

Proteggere le applicazioni

Per informazioni sugli obiettivi di distribuzione per la protezione delle applicazioni, vedere Proteggere le applicazioni con Zero Trust. Per implementare questi obiettivi di distribuzione, è possibile:

• Usare le API per ottenere visibilità sulle applicazioni.

• Applicare criteri per proteggere le informazioni riservate.

• Applicare controlli di accesso adattivo.

• Limitare la portata dell'IT shadow.

Considerazioni sull'applicazione

• Gli obiettivi di distribuzione per le applicazioni si concentrano sulla gestione di applicazioni di terze parti e di prima parte nell'organizzazione.

• Gli obiettivi non rispondono alla protezione dell'infrastruttura delle applicazioni. Si tratta invece di proteggere l'utilizzo delle applicazioni, in particolare le applicazioni cloud.

• Le procedure della zona di destinazione di Azure non forniscono controlli dettagliati per gli obiettivi dell'applicazione. Questi controlli vengono configurati come parte della configurazione dell'applicazione.

Raccomandazioni sulle applicazioni

• Usare Microsoft Defender per il cloud App per gestire l'accesso alle applicazioni.

• Usare i criteri standardizzati inclusi nelle app di Defender per il cloud per applicare le procedure.

• Sviluppare un piano per eseguire l'onboarding delle applicazioni nelle procedure per l'accesso alle applicazioni. Non considerare attendibili le applicazioni ospitate dall'organizzazione rispetto alle applicazioni di terze parti.

Proteggere i dati

Per informazioni sugli obiettivi di distribuzione per la protezione dei dati, vedere Proteggere i dati con Zero Trust. Per implementare questi obiettivi, è possibile:

• Classificare ed etichettare i dati.
• Abilitare il controllo di accesso.
• Implementare la protezione dalla perdita di dati.

Per informazioni sulla registrazione e sulla gestione delle risorse dati, vedere Implementazioni di riferimento della zona di destinazione di Azure.

Un approccio Zero Trust prevede controlli estesi per i dati. Dal punto di vista dell'implementazione, Microsoft Purview fornisce strumenti per la governance, la protezione e la gestione dei rischi dei dati. È possibile usare Microsoft Purview come parte di una distribuzione di analisi su scala cloud per fornire una soluzione che è possibile implementare su larga scala.

Considerazioni sui dati

• In conformità con il principio di democratizzazione delle sottoscrizioni della zona di destinazione, è possibile creare l'accesso e l'isolamento della rete per le risorse dati e stabilire anche procedure di registrazione.

  Esistono criteri nelle implementazioni di riferimento per la registrazione e la gestione delle risorse dati.

• Sono necessari altri controlli oltre alla protezione delle risorse di Azure per soddisfare gli obiettivi di distribuzione. La sicurezza dei dati Zero Trust implica la classificazione dei dati, l'assegnazione di etichette per la riservatezza e il controllo dell'accesso ai dati. Si estende anche oltre il database e i file system. È necessario considerare come proteggere i dati in Microsoft Teams, Gruppi di Microsoft 365 e SharePoint.

Raccomandazioni per i dati

• Microsoft Purview offre strumenti per la governance, la protezione e la gestione dei rischi dei dati.

• Implementare Microsoft Purview come parte di una distribuzione di analisi su scala cloud per implementare il carico di lavoro su larga scala.

Infrastruttura sicura

Per informazioni sugli obiettivi di distribuzione per la protezione dell'infrastruttura, vedere Proteggere l'infrastruttura con Zero Trust. Per implementare questi obiettivi, è possibile:

• Monitorare il comportamento anomalo nei carichi di lavoro.
• Gestire le identità dell'infrastruttura.
• Limitare l'accesso umano.
• Segmentare le risorse.

Considerazioni sull'infrastruttura

• Gli obiettivi di distribuzione dell'infrastruttura includono:

  • Gestione delle risorse di Azure.
  • Gestione degli ambienti del sistema operativo.
  • Accesso ai sistemi.
  • Applicazione di controlli specifici del carico di lavoro.

• È possibile usare il modello di sottoscrizione della zona di destinazione per creare limiti di sicurezza chiari alle risorse di Azure e assegnare autorizzazioni limitate a livello di risorsa.

• Le organizzazioni devono organizzare i carichi di lavoro per la gestione.

Raccomandazioni per l'infrastruttura

• Usare i criteri standard della zona di destinazione di Azure per bloccare le distribuzioni e le risorse non conformi e applicare i modelli di registrazione.

• Configurare Privileged Identity Management in Microsoft Entra ID per fornire l'accesso JIT ai ruoli con privilegi elevati.

• Configurare l'accesso JIT in Defender per il cloud per la zona di destinazione per limitare l'accesso alle macchine virtuali.

• Creare un piano per monitorare e gestire singoli carichi di lavoro distribuiti in Azure.

Reti sicure

Per informazioni sugli obiettivi di distribuzione per la protezione delle reti, vedere Proteggere le reti con Zero Trust. Per implementare questi obiettivi, è possibile:

• Implementare la segmentazione di rete.
• Usare il filtro nativo del cloud.
• Implementare privilegi di accesso minimo.

Considerazioni per la rete

• Per garantire che le risorse della piattaforma supportino il modello di sicurezza Zero Trust, è necessario distribuire firewall in grado di ispezione del traffico HTTPS e isolare le risorse di rete di gestione e identità dall'hub centrale.

• Oltre alle risorse di rete nella sottoscrizione di connettività, è necessario creare piani per micro segmentare singoli carichi di lavoro nelle reti virtuali spoke. Ad esempio, è possibile definire modelli di traffico e creare gruppi di sicurezza di rete con granularità fine per ogni rete del carico di lavoro.

Raccomandazioni di rete

• Usare le guide alla distribuzione specifiche di Zero Trust seguenti per distribuire la zona di destinazione di Azure:

  • Distribuzione dell'acceleratore del portale di destinazione di Azure con principi di rete Zero Trust
  • Distribuire la rete con principi di rete Zero Trust
  • Distribuzione terraform della zona di destinazione di Azure con principi di rete Zero Trust

• Per informazioni su come applicare i principi Zero Trust al recapito dell'applicazione, vedere Rete Zero Trust per le applicazioni Web.

• Per informazioni su come creare un piano per la rete del carico di lavoro, vedere Piani di distribuzione Zero Trust con Azure.

Visibilità, automazione e orchestrazione

Per informazioni sugli obiettivi di distribuzione per visibilità, automazione e orchestrazione, vedere Visibilità, automazione e orchestrazione con Zero Trust. Per implementare questi obiettivi, è possibile:

• Stabilire la visibilità.
• Abilitare l'automazione.
• Abilitare controlli aggiuntivi praticando un miglioramento continuo.

Considerazioni su visibilità, automazione e orchestrazione

• Le implementazioni di riferimento della zona di destinazione di Azure contengono distribuzioni di Microsoft Sentinel che è possibile usare per stabilire rapidamente la visibilità nell'ambiente Azure.

• Le implementazioni di riferimento forniscono criteri per la registrazione di Azure, ma è necessaria un'integrazione aggiuntiva per altri servizi.

• È consigliabile configurare strumenti di automazione, ad esempio Azure DevOps e GitHub, per inviare segnali.

Raccomandazioni su visibilità, automazione e orchestrazione

• Distribuire Microsoft Sentinel come parte della zona di destinazione di Azure.

• Creare un piano per integrare segnali da Microsoft Entra ID e strumenti in Microsoft 365 all'area di lavoro di Microsoft Sentinel.

• Creare un piano per eseguire esercizi di ricerca delle minacce e miglioramenti continui della sicurezza.

Passaggi successivi

• Sicurezza in Microsoft Cloud Adoption Framework per Azure
• Applicare principi Zero Trust ai servizi di Azure
• Valutare il comportamento di sicurezza Zero Trust