Isolamento nel cloud pubblico di AzureIsolation in the Azure Public Cloud

IntroduzioneIntroduction

PanoramicaOverview

Per consentire ai clienti attuali e potenziali di Azure di comprendere e usare le diverse funzionalità correlate alla sicurezza disponibili nel contesto della piattaforma Azure, Microsoft ha sviluppato una serie di white paper, panoramiche sulla sicurezza, procedure consigliate ed elenchi di controllo.To assist current and prospective Azure customers understand and utilize the various security-related capabilities available in and surrounding the Azure platform, Microsoft has developed a series of White Papers, Security Overviews, Best Practices, and Checklists. Gli argomenti variano per ampiezza e livello di approfondimento e vengono aggiornati periodicamente.The topics range in terms of breadth and depth and are updated periodically. Questo documento fa parte di tale serie come descritto nella sezione Sintesi di seguito.This document is part of that series as summarized in the Abstract section following.

Piattaforma AzureAzure Platform

Azure è una piattaforma aperta e flessibile di servizi cloud che supporta la più ampia gamma di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.Azure is an open and flexible cloud service platform that supports the broadest selection of operating systems, programming languages, frameworks, tools, databases, and devices. Ad esempio, è possibile:For example, you can:

  • Eseguire contenitori Linux con l'integrazione Docker;Run Linux containers with Docker integration;
  • Compilare app con JavaScript, Python, .NET, PHP, Java e Node.js eBuild apps with JavaScript, Python, .NET, PHP, Java, and Node.js; and
  • Compilare back-end per dispositivi iOS, Android e Windows.Build back-ends for iOS, Android, and Windows devices.

Microsoft Azure supporta le stesse tecnologie che milioni di sviluppatori e professionisti IT considerano affidabili e usano già.Microsoft Azure supports the same technologies millions of developers and IT professionals already rely on and trust.

Quando si compilano asset IT o se ne esegue la migrazione in un provider di servizi di cloud pubblico, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli offerti per gestire la sicurezza degli asset basati sul cloud.When you build on, or migrate IT assets to, a public cloud service provider, you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure offre anche un'ampia gamma di opzioni di sicurezza configurabili, con la possibilità di controllarle per poter personalizzare la sicurezza e soddisfare così i requisiti univoci di ogni distribuzione.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your deployments. Questo documento consente di soddisfare questi requisiti.This document helps you meet these requirements.

SuntoAbstract

Microsoft Azure consente di eseguire applicazioni e macchine virtuali (VM) in un'infrastruttura fisica condivisa.Microsoft Azure allows you to run applications and virtual machines (VMs) on shared physical infrastructure. Uno dei motivi economici principali per l'esecuzione di applicazioni in un ambiente cloud è la possibilità di distribuire il costo delle risorse condivise tra più clienti.One of the prime economic motivations to running applications in a cloud environment is the ability to distribute the cost of shared resources among multiple customers. Questa pratica di multi-tenancy aumenta l'efficienza grazie al multiplexing delle risorse tra i diversi clienti a costi ridotti,This practice of multi-tenancy improves efficiency by multiplexing resources among disparate customers at low costs. ma introduce purtroppo i rischi correlati alla condivisione di server fisici e altre risorse dell'infrastruttura per l'esecuzione di applicazioni sensibili del cliente insieme a VM che possono appartenere a un utente qualsiasi, potenzialmente malintenzionato.Unfortunately, it also introduces the risk of sharing physical servers and other infrastructure resources to run your sensitive applications and VMs that may belong to an arbitrary and potentially malicious user.

Questo articolo illustra l'isolamento dagli utenti malintenzionati e non malintenzionati offerto da Microsoft Azure e funge da guida per la progettazione di soluzioni cloud, con diverse opzioni di isolamento per gli architetti.This article outlines how Microsoft Azure provides isolation against both malicious and non-malicious users and serves as a guide for architecting cloud solutions by offering various isolation choices to architects. Questo white paper è incentrato sulla tecnologia della piattaforma Azure e sui controlli di sicurezza per i clienti e non tratta contratti di servizio, modelli tariffari e attività DevOps.This white paper focuses on the technology of Azure platform and customer-facing security controls, and does not attempt to address SLAs, pricing models, and DevOps practice considerations.

Isolamento a livello di tenantTenant Level Isolation

Uno dei vantaggi principali del cloud computing è il concetto di un'infrastruttura comune condivisa tra numerosi clienti contemporaneamente, determinando economie di scala.One of the primary benefits of cloud computing is concept of a shared, common infrastructure across numerous customers simultaneously, leading to economies of scale. Questo concetto è denominato "multi-tenancy".This concept is called multi-tenancy. Microsoft lavora costantemente per garantire che l'architettura multi-tenant dei servizi cloud di Microsoft Azure supporti gli standard di sicurezza, riservatezza, privacy, integrità e disponibilità.Microsoft works continuously to ensure that the multi-tenant architecture of Microsoft Cloud Azure supports security, confidentiality, privacy, integrity, and availability standards.

Nell'area di lavoro abilitata per il cloud, un tenant può essere definito come un client o un'organizzazione che possiede e gestisce un'istanza specifica di tale servizio cloud.In the cloud-enabled workplace, a tenant can be defined as a client or organization that owns and manages a specific instance of that cloud service. Con la piattaforma delle identità fornita da Microsoft Azure, un tenant è semplicemente un'istanza dedicata di Azure Active Directory (Azure AD) che l'organizzazione riceve e di cui diventa proprietaria quando effettua l'iscrizione a un servizio Microsoft Cloud.With the identity platform provided by Microsoft Azure, a tenant is simply a dedicated instance of Azure Active Directory (Azure AD) that your organization receives and owns when it signs up for a Microsoft cloud service.

Ogni directory di Azure AD è distinta e separata dalle altre directory di Azure AD.Each Azure AD directory is distinct and separate from other Azure AD directories. Proprio come un edificio di uffici è un asset sicuro specifico solo dell'organizzazione che vi ha sede, anche una directory di Azure AD è stata progettata per essere un asset sicuro usato solo dall'organizzazione proprietaria.Just like a corporate office building is a secure asset specific to only your organization, an Azure AD directory was also designed to be a secure asset for use by only your organization. L'architettura di Azure AD isola le informazioni relative all'identità e i dati dei clienti evitando che si combinino con altri.The Azure AD architecture isolates customer data and identity information from co-mingling. Questo significa che gli utenti e gli amministratori di una directory di Azure AD non possono accedere accidentalmente o con dolo ai dati presenti in un'altra directory.This means that users and administrators of one Azure AD directory cannot accidentally or maliciously access data in another directory.

Tenancy di AzureAzure Tenancy

Il concetto di tenancy di Azure (sottoscrizione di Azure) si riferisce a una relazione "cliente/fatturazione" e a un tenant univoco in Azure Active Directory.Azure tenancy (Azure Subscription) refers to a “customer/billing” relationship and a unique tenant in Azure Active Directory. L'isolamento a livello di tenant in Microsoft Azure si ottiene usando Azure Active Directory e i controlli in base al ruolo messi a disposizione da questa applicazione.Tenant level isolation in Microsoft Azure is achieved using Azure Active Directory and role-based controls offered by it. Ogni sottoscrizione di Azure è associata a una directory di Azure Active Directory (AD).Each Azure subscription is associated with one Azure Active Directory (AD) directory.

Gli utenti, i gruppi e le applicazioni da tale directory possono gestire le risorse nella sottoscrizione di Azure.Users, groups, and applications from that directory can manage resources in the Azure subscription. È possibile assegnare questi diritti di accesso tramite il portale di Azure, gli strumenti da riga di comando di Azure o le API Gestione di Azure.You can assign these access rights using the Azure portal, Azure command-line tools, and Azure Management APIs. Un tenant di Azure AD viene isolato in modo logico usando limiti di sicurezza in modo che nessun cliente possa accedere agli altri tenant e comprometterli, intenzionalmente o accidentalmente.An Azure AD tenant is logically isolated using security boundaries so that no customer can access or compromise co-tenants, either maliciously or accidentally. Azure AD viene eseguito nei server "bare metal" isolati in un segmento di rete separato, in cui il filtraggio dei pacchetti a livello di host e Windows Firewall bloccano connessioni e traffico indesiderati.Azure AD runs on “bare metal” servers isolated on a segregated network segment, where host-level packet filtering and Windows Firewall block unwanted connections and traffic.

  • L'accesso ai dati in Azure AD richiede l'autenticazione utente tramite un servizio token di sicurezza.Access to data in Azure AD requires user authentication via a security token service (STS). Le informazioni relative a esistenza, stato abilitato e ruolo dell'utente vengono usate dal sistema di autorizzazione per determinare se l'accesso richiesto al tenant di destinazione è autorizzato per l'utente corrente in questa sessione.Information on the user’s existence, enabled state, and role is used by the authorization system to determine whether the requested access to the target tenant is authorized for this user in this session.

Tenancy di Azure

  • I tenant sono contenitori discreti che non hanno alcuna relazione tra loro.Tenants are discrete containers and there is no relationship between these.

  • Non è possibile l'accesso da un tenant all'altro, a meno che l'amministratore non lo conceda tramite la federazione o il provisioning degli account utente da altri tenant.No access across tenants unless tenant admin grants it through federation or provisioning user accounts from other tenants.

  • L'accesso fisico ai server che comprendono il servizio Azure AD e l'accesso diretto ai sistemi back-end di Azure AD sono limitati.Physical access to servers that comprise the Azure AD service, and direct access to Azure AD’s back-end systems, is restricted.

  • Gli utenti di Azure AD non hanno accesso a posizioni o risorse fisiche e non possono quindi ignorare le verifiche dei criteri del controllo degli accessi in base al ruolo indicate di seguito.Azure AD users have no access to physical assets or locations, and therefore it is not possible for them to bypass the logical RBAC policy checks stated following.

Per esigenze di diagnostica e manutenzione, è necessario e viene usato un modello operativo che impiega un sistema di elevazione dei privilegi just-in-time.For diagnostics and maintenance needs, an operational model that employs a just-in-time privilege elevation system is required and used. Azure AD Privileged Identity Management (PIM) introduce il concetto di amministratore idoneo. Gli amministratori idonei devono essere utenti che necessitano dell'accesso con privilegi in modo occasionale, non con cadenza quotidiana.Azure AD Privileged Identity Management (PIM) introduces the concept of an eligible admin. Eligible admins should be users that need privileged access now and then, but not every day. Il ruolo è inattivo fino a quando l'utente che necessita dell'accesso non completa un processo di attivazione e diventa amministratore attivo per un periodo di tempo predeterminato.The role is inactive until the user needs access, then they complete an activation process and become an active admin for a predetermined amount of time.

Gestione identità con privilegi di Azure AD

Azure Active Directory ospita ogni tenant nel relativo contenitore protetto, con i criteri e autorizzazioni per il contenitore e gli elementi al suo interno gestiti esclusivamente dal tenant che ne è anche proprietario.Azure Active Directory hosts each tenant in its own protected container, with policies and permissions to and within the container solely owned and managed by the tenant.

Il concetto dei contenitori di tenant è profondamente radicato nel servizio directory a tutti i livelli, dai portali fino all'archivio permanente.The concept of tenant containers is deeply ingrained in the directory service at all layers, from portals all the way to persistent storage.

Anche quando i metadati di più tenant di Azure Active Directory vengono archiviati nello stesso disco fisico, non esistono relazioni tra i contenitori tranne quelle definite dal servizio directory, a sua volta determinato dall'amministratore tenant.Even when metadata from multiple Azure Active Directory tenants is stored on the same physical disk, there is no relationship between the containers other than what is defined by the directory service, which in turn is dictated by the tenant administrator.

Controllo degli accessi in base al ruolo di AzureAzure Role-Based Access Control (RBAC)

Il controllo degli accessi in base al ruolo di Azure (RBAC) consente di condividere i vari componenti disponibili all'interno di una sottoscrizione di Azure fornendo la gestione degli accessi con granularità fine per Azure.Azure Role-Based Access Control (RBAC) helps you to share various components available within an Azure subscription by providing fine-grained access management for Azure. Il controllo degli accessi in base al ruolo di Azure consente di separare i compiti all'interno dell'organizzazione e di concedere l'accesso in base alle attività che i singoli utenti devono svolgere.Azure RBAC enables you to segregate duties within your organization and grant access based on what users need to perform their jobs. Invece di concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, è possibile consentire solo determinate azioni.Instead of giving everybody unrestricted permissions in Azure subscription or resources, you can allow only certain actions.

Il Controllo degli accessi in base al ruolo di Azure include di tre ruoli di base che si applicano a tutti i tipi di risorsa:Azure RBAC has three basic roles that apply to all resource types:

  • Proprietario ha accesso completo a tutte le risorse, compreso il diritto di delegare l'accesso ad altri utenti.Owner has full access to all resources including the right to delegate access to others.

  • Collaboratore può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri utenti.Contributor can create and manage all types of Azure resources but can’t grant access to others.

  • Lettore può visualizzare le risorse di Azure esistenti.Reader can view existing Azure resources.

Controllo degli accessi in base al ruolo di Azure

Il resto dei ruoli RBAC in Azure consente la gestione di risorse di Azure specifiche.The rest of the RBAC roles in Azure allow management of specific Azure resources. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali,For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. ma non concede l'accesso alla rete virtuale di Azure o alla subnet a cui la macchina virtuale si connette.It does not give them access to the Azure Virtual Network or the subnet that the virtual machine connects to.

Ruoli predefiniti per il controllo degli accessi in base al ruolo elenca i ruoli disponibili in Azure.RBAC built-in roles list the roles available in Azure. Specifica le operazioni e l'ambito che ogni ruolo predefinito concede agli utenti.It specifies the operations and scope that each built-in role grants to users. Per definire ruoli personalizzati per un maggiore controllo, vedere come creare ruoli personalizzati nel Controllo degli accessi in base al ruolo di Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Altre funzionalità di Azure Active Directory includono:Some other capabilities for Azure Active Directory include:

  • Azure AD abilita SSO nelle applicazioni SaaS, indipendentemente da dove vengono ospitate.Azure AD enables SSO to SaaS applications, regardless of where they are hosted. Alcune applicazioni sono federate con Azure AD e altre usano SSO basato su password.Some applications are federated with Azure AD, and others use password SSO. Le applicazioni federate possono anche supportare il provisioning utenti e l'insieme di credenziali delle password.Federated applications can also support user provisioning and password vaulting.

  • L'accesso ai dati in Archiviazione di Azure è controllato dall'autenticazione.Access to data in Azure Storage is controlled via authentication. Ogni account di archiviazione ha una chiave primaria (chiave dell'account di archiviazione) e una chiave privata secondaria (firma di accesso condiviso).Each storage account has a primary key (storage account key, or SAK) and a secondary secret key (the shared access signature, or SAS).

  • Azure AD fornisce l'identità come servizio usando la federazione (con Active Directory Federation Services), la sincronizzazione e la replica con le directory locali.Azure AD provides Identity as a Service through federation by using Active Directory Federation Services, synchronization, and replication with on-premises directories.

  • Azure Multi-Factor Authentication è il servizio di autenticazione a più fattori che richiede agli utenti di verificare l'accesso usando un'app mobile, una chiamata telefonica o un SMS.Azure Multi-Factor Authentication is the multi-factor authentication service that requires users to verify sign-ins by using a mobile app, phone call, or text message. Può essere usato con Azure AD per la protezione delle risorse locali con il server Azure Multi-Factor Authentication e anche con applicazioni e directory personalizzate che usano l'SDK.It can be used with Azure AD to help secure on-premises resources with the Azure Multi-Factor Authentication server, and also with custom applications and directories using the SDK.

  • Azure AD Domain Services consente di aggiungere le macchine virtuali di Azure a un dominio di Active Directory senza distribuire controller di dominio.Azure AD Domain Services lets you join Azure virtual machines to an Active Directory domain without deploying domain controllers. È possibile accedere a queste macchine virtuali con le credenziali di Active Directory aziendali e amministrare le macchine virtuali aggiunte a un dominio usando Criteri di gruppo per applicare le baseline della sicurezza in tutte le macchine virtuali di Azure.You can sign in to these virtual machines with your corporate Active Directory credentials and administer domain-joined virtual machines by using Group Policy to enforce security baselines on all your Azure virtual machines.

  • Azure Active Directory B2C offre un servizio di gestione delle identità globale a disponibilità elevata per le applicazioni rivolte agli utenti, con scalabilità fino a centinaia di milioni di identità.Azure Active Directory B2C provides a highly available global-identity management service for consumer-facing applications that scales to hundreds of millions of identities. Il servizio può essere integrato tra piattaforme mobili e Web.It can be integrated across mobile and web platforms. Gli utenti possono accedere a tutte le applicazioni attraverso esperienze personalizzabili usando gli account dei propri social network esistenti o creando credenziali.Your consumers can sign in to all your applications through customizable experiences by using their existing social accounts or by creating credentials.

Isolamento da amministratori Microsoft ed eliminazione dei datiIsolation from Microsoft Administrators & Data Deletion

Microsoft adotta misure sicure per proteggere i dati da accessi e usi impropri da parte di persone non autorizzate.Microsoft takes strong measures to protect your data from inappropriate access or use by unauthorized persons. Questi processi operativi e controlli sono supportati dalle condizioni di Microsoft Online Services, che offrono impegni contrattuali che regolano l'accesso ai dati.These operational processes and controls are backed by the Online Services Terms, which offer contractual commitments that govern access to your data.

  • Gli esperti Microsoft non hanno l'accesso predefinito ai dati nel cloud.Microsoft engineers do not have default access to your data in the cloud. L'accesso viene loro concesso sotto supervisione e solo quando necessario.Instead, they are granted access, under management oversight, only when necessary. Viene anche attentamente controllato e registrato e revocato quando non è più necessario.That access is carefully controlled and logged, and revoked when it is no longer needed.

  • Microsoft può ricorrere ad altre società per la fornitura di servizi limitati per suo conto.Microsoft may hire other companies to provide limited services on its behalf. Le società esterne possono accedere ai dati dei clienti solo per fornire i servizi dei quali sono state incaricate e non sono autorizzate a usare i dati per altri scopi.Subcontractors may access customer data only to deliver the services for which, we have hired them to provide, and they are prohibited from using it for any other purpose. Sono anche vincolate per contratto a tutelare la riservatezza delle informazioni dei clienti.Further, they are contractually bound to maintain the confidentiality of our customers’ information.

I servizi aziendali con certificazioni sottoposte a auditing, ad esempio ISO/IEC 27001, vengono verificati regolarmente da Microsoft e da società di auditing accreditate tramite controlli a campione per attestare che l'accesso avvenga solo per scopi commerciali legittimi.Business services with audited certifications such as ISO/IEC 27001 are regularly verified by Microsoft and accredited audit firms, which perform sample audits to attest that access, only for legitimate business purposes. Il cliente può accedere ai propri dati in qualsiasi momento e per qualunque motivo.You can always access your own customer data at any time and for any reason.

Se si eliminano dati, Microsoft Azure elimina i dati, comprese le eventuali copie memorizzate nella cache o di backup.If you delete any data, Microsoft Azure deletes the data, including any cached or backup copies. Per i servizi nell'ambito, l'eliminazione verrà eseguita entro 90 giorni dal termine del periodo di conservazione.For in-scope services, that deletion will occur within 90 days after the end of the retention period. I servizi nell'ambito sono definiti nella sezione Condizioni per l'elaborazione dei dati delle condizioni di Microsoft Online Services.(In-scope services are defined in the Data Processing Terms section of our Online Services Terms.)

Se in un'unità disco usata per l'archiviazione si verifica un errore hardware, l'unità verrà cancellata o distrutta in modo sicuro prima che Microsoft la restituisca al produttore per la sostituzione o la riparazione.If a disk drive used for storage suffers a hardware failure, it is securely erased or destroyed before Microsoft returns it to the manufacturer for replacement or repair. I dati presenti nell'unità verranno sovrascritti per garantire che non possano essere recuperati in alcun modo.The data on the drive is overwritten to ensure that the data cannot be recovered by any means.

Isolamento del calcoloCompute Isolation

Microsoft Azure offre numerosi servizi di calcolo basati sul cloud che includono un'ampia gamma di istanze e servizi di calcolo con scalabilità automatica per soddisfare le esigenze dell'applicazione o dell'organizzazione.Microsoft Azure provides various cloud-based computing services that include a wide selection of compute instances & services that can scale up and down automatically to meet the needs of your application or enterprise. Tali istanze e servizi di calcolo offrono l'isolamento a più livelli per proteggere i dati senza sacrificare la flessibilità di configurazione richiesta dai clienti.These compute instance and service offer isolation at multiple levels to secure data without sacrificing the flexibility in configuration that customers demand.

Isolamento Hyper-V e del sistema operativo radice tra VM radice e VM guestHyper-V & Root OS Isolation Between Root VM & Guest VMs

La piattaforma di calcolo di Azure si basa sulla virtualizzazione dei computer, ovvero tutto il codice del cliente viene eseguito in una macchina virtuale Hyper-V.Azure’s compute platform is based on machine virtualization—meaning that all customer code executes in a Hyper-V virtual machine. In ogni nodo o endpoint di rete di Azure è presente un hypervisor che viene eseguito direttamente sull'hardware e suddivide il nodo in un numero variabile di macchine virtuali guest.On each Azure node (or network endpoint), there is a Hypervisor that runs directly over the hardware and divides a node into a variable number of Guest Virtual Machines (VMs).

Isolamento Hyper-V e del sistema operativo radice tra VM radice e VM guest

Ogni nodo ha anche un'apposita VM radice che esegue il sistema operativo host.Each node also has one special Root VM, which runs the Host OS. Una delimitazione critica è l'isolamento della VM radice dalle VM guest e delle VM guest l'una dall'altra, gestita dall'hypervisor e dal sistema operativo radice.A critical boundary is the isolation of the root VM from the guest VMs and the guest VMs from one another, managed by the hypervisor and the root OS. L'associazione di hypervisor e sistema operativo radice sfrutta decenni di esperienza di Microsoft nella sicurezza dei sistemi operativi e l'esperienza più recente con Microsoft Hyper-V per offrire l'isolamento avanzato delle macchine virtuali guest.The hypervisor/root OS pairing leverages Microsoft's decades of operating system security experience, and more recent learning from Microsoft's Hyper-V, to provide strong isolation of guest VMs.

La piattaforma Azure usa un ambiente virtualizzato.The Azure platform uses a virtualized environment. Le istanze utente funzionano come macchine virtuali autonome prive di accesso a un server host fisico e questo isolamento viene applicato usando i livelli di privilegi del processore (ring-0/ring-3) fisico.User instances operate as standalone virtual machines that do not have access to a physical host server, and this isolation is enforced by using physical processor (ring-0/ring-3) privilege levels.

Ring 0 è il livello con più privilegi e 3 quello con meno privilegi.Ring 0 is the most privileged and 3 is the least. Il sistema operativo guest viene eseguito in un livello Ring 1 con meno privilegi e le applicazioni vengono eseguite nel livello con privilegi minimi Ring 3.The guest OS runs in a lesser-privileged Ring 1, and applications run in the least privileged Ring 3. Questa virtualizzazione delle risorse fisiche porta a una netta separazione tra il sistema operativo guest e l'hypervisor, con un'ulteriore separazione della sicurezza tra i due.This virtualization of physical resources leads to a clear separation between guest OS and hypervisor, resulting in additional security separation between the two.

L'hypervisor di Azure funge da micro-kernel e passa tutte le richieste di accesso all'hardware dalle macchine virtuali guest all'host per elaborarle usando un'interfaccia di memoria condivisa denominata VMBus.The Azure hypervisor acts like a micro-kernel and passes all hardware access requests from guest virtual machines to the host for processing by using a shared-memory interface called VMBus. Questo impedisce agli utenti di ottenere l'accesso in lettura/scrittura/esecuzione non elaborato al sistema e riduce il rischio di condividere le risorse di sistema.This prevents users from obtaining raw read/write/execute access to the system and mitigates the risk of sharing system resources.

Algoritmo avanzato di selezione host per le VM e protezione da attacchi side channelAdvanced VM placement algorithm & protection from side channel attacks

Gli attacchi tra VM prevedono due passaggi: posizionamento di una VM controllata da un antagonista nello stesso host delle VM bersaglio e quindi violazione del limite di isolamento per sottrarre informazioni sensibili alla vittima oppure comprometterne le prestazioni per guadagno o vandalismo.Any cross-VM attack involves two steps: placing an adversary-controlled VM on the same host as one of the victim VMs, and then breaching the isolation boundary to either steal sensitive victim information or affect its performance for greed or vandalism. Microsoft Azure fornisce protezione in entrambi i passaggi usando un algoritmo avanzato di selezione host per le VM e la protezione da tutti gli attacchi side channel noti, incluse le VM "noisy neighbor".Microsoft Azure provides protection at both steps by using an advanced VM placement algorithm and protection from all known side channel attacks including noisy neighbor VMs.

Controller di infrastruttura di AzureThe Azure Fabric Controller

Il controller di infrastruttura di Azure è responsabile dell'allocazione delle risorse dell'infrastruttura nei carichi di lavoro dei tenant e gestisce le comunicazioni unidirezionali dall'host alle macchine virtuali.The Azure Fabric Controller is responsible for allocating infrastructure resources to tenant workloads, and it manages unidirectional communications from the host to virtual machines. L'algoritmo di selezione host per le VM del controller di infrastruttura di Azure è estremamente sofisticato e quasi impossibile da prevedere a livello di host fisico.The VM placing algorithm of the Azure fabric controller is highly sophisticated and nearly impossible to predict as physical host level.

Controller di infrastruttura di Azure

L'hypervisor di Azure impone la separazione di memoria e processi tra le macchine virtuali e instrada in modo sicuro il traffico di rete ai tenant del sistema operativo guest.The Azure hypervisor enforces memory and process separation between virtual machines, and it securely routes network traffic to guest OS tenants. Si elimina così la possibilità di un attacco side channel a livello di VM.This eliminates possibility of and side channel attack at VM level.

In Azure, la macchina virtuale radice è particolare: esegue un sistema operativo con protezione avanzata denominato "sistema operativo radice" che ospita un agente dell'infrastruttura.In Azure, the root VM is special: it runs a hardened operating system called the root OS that hosts a fabric agent (FA). Gli agenti dell'infrastruttura vengono usati loro volta per gestire gli agenti guest all'interno dei sistemi operativi guest nelle macchine virtuali dei clienti.FAs are used in turn to manage guest agents (GA) within guest OSes on customer VMs. Gestiscono anche i nodi di archiviazione.FAs also manage storage nodes.

L'insieme costituito da hypervisor di Azure, sistema operativo radice/agente dell'infrastruttura e VM del cliente/agenti guest comprende un nodo di calcolo.The collection of Azure hypervisor, root OS/FA, and customer VMs/GAs comprises a compute node. Gli agenti dell'infrastruttura sono gestiti da un controller di infrastruttura (FC) esterno ai nodi di calcolo e di archiviazione: i cluster di calcolo e di archiviazione vengono gestiti da controller di infrastruttura separati.FAs are managed by a fabric controller (FC), which exists outside of compute and storage nodes (compute and storage clusters are managed by separate FCs). Se un cliente aggiorna il file di configurazione dell'applicazione mentre questa è in esecuzione, il controller di infrastruttura comunica con l'agente dell'infrastruttura, il quale contatta gli agenti guest che a loro volta segnalano la modifica della configurazione all'applicazione.If a customer updates their application’s configuration file while it’s running, the FC communicates with the FA, which then contacts GAs, which notify the application of the configuration change. In caso di errore hardware, il controller di infrastruttura troverà automaticamente hardware disponibile nel quale riavvierà la macchina virtuale.In the event of a hardware failure, the FC will automatically find available hardware and restart the VM there.

Controller di infrastruttura di Azure

La comunicazione tra un controller di infrastruttura e un agente è unidirezionale.Communication from a Fabric Controller to an agent is unidirectional. L'agente implementa un servizio protetto da SSL che risponda solo alle richieste del controller.The agent implements an SSL-protected service that only responds to requests from the controller. Non può stabilire connessioni con il controller o altri nodi interni con privilegi.It cannot initiate connections to the controller or other privileged internal nodes. Il controller di infrastruttura considera tutte le risposte come se fossero non attendibili.The FC treats all responses as if they were untrusted.

Controller di infrastruttura

L'isolamento si estende dalla VM radice alle VM guest e tra le VM guest.Isolation extends from the Root VM from Guest VMs, and the Guest VMs from one another. Anche i nodi di calcolo sono isolati dai nodi di archiviazione per aumentare la protezione.Compute nodes are also isolated from storage nodes for increased protection.

L'hypervisor e il sistema operativo host forniscono filtri dei pacchetti di rete per assicurare che le macchine virtuali non attendibili non possano generare traffico falsificato o ricevere il traffico non indirizzato a loro, indirizzare il traffico a endpoint protetti dell'infrastruttura o inviare/ricevere traffico broadcast inappropriato.The hypervisor and the host OS provide network packet - filters to help assure that untrusted virtual machines cannot generate spoofed traffic or receive traffic not addressed to them, direct traffic to protected infrastructure endpoints, or send/receive inappropriate broadcast traffic.

Regole aggiuntive configurate dall'agente controller di infrastruttura per isolare la VMAdditional Rules Configured by Fabric Controller Agent to Isolate VM

Per impostazione predefinita, tutto il traffico viene bloccato quando viene creata una macchina virtuale e quindi l'agente controller di infrastruttura configura il filtro dei pacchetti per aggiungere regole ed eccezioni che consentono il traffico autorizzato.By default, all traffic is blocked when a virtual machine is created, and then the fabric controller agent configures the packet filter to add rules and exceptions to allow authorized traffic.

Sono previste due categorie di regole:There are two categories of rules that are programmed:

  • Regole di configurazione macchina virtuale o di infrastruttura: per impostazione predefinita, vengono bloccate tutte le comunicazioni.Machine configuration or infrastructure rules: By default, all communication is blocked. Alcune eccezioni consentono a una macchina virtuale di inviare e ricevere il traffico DHCP e DNS.There are exceptions to allow a virtual machine to send and receive DHCP and DNS traffic. Le macchine virtuali possono anche inviare il traffico a Internet "pubblico" e ad altre macchine virtuali nella stessa rete virtuale di Azure e nel server di attivazione del sistema operativo.Virtual machines can also send traffic to the “public” internet and send traffic to other virtual machines within the same Azure Virtual Network and the OS activation server. L'elenco di destinazioni in uscita consentite delle macchine virtuali non include subnet di router di Azure, la gestione di Azure e altre proprietà Microsoft.The virtual machines’ list of allowed outgoing destinations does not include Azure router subnets, Azure management, and other Microsoft properties.

  • File di configurazione dei ruoli: definisce gli elenchi di controllo di accesso (ACL) in ingresso in base al modello di servizio del tenant.Role configuration file: This defines the inbound Access Control Lists (ACLs) based on the tenant's service model.

Isolamento VLANVLAN Isolation

In ogni cluster sono presenti tre VLAN:There are three VLANs in each cluster:

Isolamento VLAN

  • VLAN principale: crea l'interconnessione tra i nodi non attendibili del clienteThe main VLAN – interconnects untrusted customer nodes

  • VLAN del controller di infrastruttura (FC): contiene controller di infrastruttura attendibili e sistemi di supportoThe FC VLAN – contains trusted FCs and supporting systems

  • VLAN dei dispositivi: contiene dispositivi di rete attendibili e altri dispositivi dell'infrastrutturaThe device VLAN – contains trusted network and other infrastructure devices

La comunicazione è consentita dalla VLAN del controller di infrastruttura alla VLAN principale, ma non dalla VLAN principale alla VLAN del controller di infrastruttura.Communication is permitted from the FC VLAN to the main VLAN, but cannot be initiated from the main VLAN to the FC VLAN. La comunicazione è anche bloccata dalla VLAN principale alla VLAN dei dispositivi.Communication is also blocked from the main VLAN to the device VLAN. Questo assicura che anche se un nodo che esegue il codice del cliente è compromesso, non potrà attaccare nodi sulla VLAN dei dispositivi o sulla VLAN del controller di infrastruttura.This assures that even if a node running customer code is compromised, it cannot attack nodes on either the FC or device VLANs.

Isolamento dell'archiviazioneStorage Isolation

Isolamento logico tra calcolo e archiviazioneLogical Isolation Between Compute and Storage

Nell'ambito della sua progettazione fondamentale, Microsoft Azure separa il calcolo basato sulle VM dall'archiviazione.As part of its fundamental design, Microsoft Azure separates VM-based computation from storage. Questa separazione consente la scalabilità indipendente di calcolo e archiviazione, semplificando l'uso di multi-tenancy e isolamento.This separation enables computation and storage to scale independently, making it easier to provide multi-tenancy and isolation.

Il servizio Archiviazione di Azure viene quindi eseguito in hardware separato senza alcuna connettività di rete ai servizi di calcolo di Azure, ad eccezione di quella logica.Therefore, Azure Storage runs on separate hardware with no network connectivity to Azure Compute except logically. Questo significa che quando viene creato un disco virtuale, lo spazio sul disco non viene allocato per l'intera capacità.This means that when a virtual disk is created, disk space is not allocated for its entire capacity. Viene invece creata una tabella che associa gli indirizzi nel disco virtuale ad aree del disco fisico. Questa tabella è inizialmente vuota.Instead, a table is created that maps addresses on the virtual disk to areas on the physical disk and that table is initially empty. La prima volta che un cliente scrive dati nel disco virtuale, viene allocato spazio sul disco fisico e il relativo puntatore viene inserito nella tabella.The first time a customer writes data on the virtual disk, space on the physical disk is allocated, and a pointer to it is placed in the table.

Isolamento tramite il controllo di accesso per l'archiviazioneIsolation Using Storage Access control

Il controllo di accesso in Archiviazione di Azure ha un modello semplice.Access Control in Azure Storage has a simple access control model. Ogni sottoscrizione di Azure può creare uno o più account di archiviazione.Each Azure subscription can create one or more Storage Accounts. Ogni account di archiviazione ha un'unica chiave privata usata per controllare l'accesso a tutti i dati presenti nell'account di archiviazione.Each Storage Account has a single secret key that is used to control access to all data in that Storage Account.

Isolamento tramite il controllo di accesso per l'archiviazione

L'accesso ai dati di Archiviazione di Azure, incluse le tabelle, può essere controllato in un token di firma di accesso condiviso che concede l'accesso con ambito.Access to Azure Storage data (including Tables) can be controlled through a SAS (Shared Access Signature) token, which grants scoped access. La firma di accesso condiviso viene creata tramite un modello di query (URL) firmato con la chiave dell'account di archiviazione.The SAS is created through a query template (URL), signed with the SAK (Storage Account Key). L'URL firmato può essere assegnato, ovvero delegato, a un altro processo che può quindi compilare i dettagli della query ed effettuare la richiesta del servizio di archiviazione.That signed URL can be given to another process (that is, delegated), which can then fill in the details of the query and make the request of the storage service. Una firma di accesso condiviso consente di concedere l'accesso con scadenza ai client senza rivelare la chiave privata dell'account di archiviazione.A SAS enables you to grant time-based access to clients without revealing the storage account’s secret key.

La firma di accesso condiviso consente di concedere a un client autorizzazioni limitate per oggetti nell'account di archiviazione per un periodo di tempo specificato e con un set di autorizzazioni.The SAS means that we can grant a client limited permissions, to objects in our storage account for a specified period of time and with a specified set of permissions. È possibile concedere queste autorizzazioni limitate senza dover condividere le chiavi di accesso all'account.We can grant these limited permissions without having to share your account access keys.

Isolamento dell'archiviazione a livello IPIP Level Storage Isolation

È possibile stabilire firewall e definire un intervallo di indirizzi IP per i client attendibili.You can establish firewalls and define an IP address range for your trusted clients. Con un intervallo di indirizzi IP, solo i client con indirizzo IP compreso nell'intervallo definito possono connettersi ad Archiviazione di Azure.With an IP address range, only clients that have an IP address within the defined range can connect to Azure Storage.

I dati di archiviazione IP possono essere protetti da utenti non autorizzati tramite un meccanismo di rete che viene usato per allocare un tunnel di traffico dedicato per l'archiviazione IP.IP storage data can be protected from unauthorized users via a networking mechanism that is used to allocate a dedicated or dedicated tunnel of traffic to IP storage.

CrittografiaEncryption

Azure offre i tipi di crittografia seguenti per proteggere i dati:Azure offers following types of Encryption to protect data:

  • Crittografia in transitoEncryption in transit

  • Crittografia di dati inattiviEncryption at rest

Crittografia in transitoEncryption in Transit

La crittografia in transito è un meccanismo di protezione dei dati durante la trasmissione tra le reti.Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Con Archiviazione di Azure è possibile proteggere i dati con:With Azure Storage, you can secure data using:

  • Crittografia a livello di trasporto, ad esempio HTTPS quando si trasferiscono dati all'interno o all'esterno di Archiviazione di Azure.Transport-level encryption, such as HTTPS when you transfer data into or out of Azure Storage.

  • Crittografia di rete, ad esempio la crittografia SMB 3.0 per le condivisioni file di Azure.Wire encryption, such as SMB 3.0 encryption for Azure File shares.

  • Crittografia lato client, per crittografare i dati prima che siano trasferiti nella risorsa di archiviazione e decrittografarli dopo il trasferimento dalla risorsa di archiviazione.Client-side encryption, to encrypt the data before it is transferred into storage and to decrypt the data after it is transferred out of storage.

Crittografia di dati inattiviEncryption at Rest

Per molte organizzazioni, la crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy dei dati, la conformità e la sovranità dei dati.For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Esistono tre funzionalità di Azure che consentono di crittografare dati inattivi:There are three Azure features that provide encryption of data that is “at rest”:

Azure Disk EncryptionAzure Disk Encryption

Crittografia dischi di Azure per le macchine virtuali consente di soddisfare i requisiti di conformità e sicurezza dell'organizzazione, grazie alla possibilità di crittografare i dischi delle macchine virtuali, inclusi i dischi di avvio e di dati, con chiavi e criteri gestiti in Azure Key Vault.Azure Disk Encryption for virtual machines (VMs) helps you address organizational security and compliance requirements by encrypting your VM disks (including boot and data disks) with keys and policies you control in Azure Key Vault.

La soluzione Crittografia dischi per Windows è basata su Crittografia unità BitLocker di Microsoft e la soluzione Linux è basata su dm-crypt.The Disk Encryption solution for Windows is based on Microsoft BitLocker Drive Encryption, and the Linux solution is based on dm-crypt.

La soluzione supporta gli scenari seguenti per le macchine virtuali IaaS, se abilitati in Microsoft Azure:The solution supports the following scenarios for IaaS VMs when they are enabled in Microsoft Azure:

  • Integrazione dell'insieme di credenziali delle chiavi di Azure.Integration with Azure Key Vault

  • Macchine virtuali di livello Standard: serie A, D, DS, G, GS e così via per VM IaaSStandard tier VMs: A, D, DS, G, GS, and so forth, series IaaS VMs

  • Abilitazione della crittografia nelle macchine virtuali IaaS Windows e LinuxEnabling encryption on Windows and Linux IaaS VMs

  • Disabilitazione della crittografia nel sistema operativo e nelle unità dati per le VM IaaS WindowsDisabling encryption on OS and data drives for Windows IaaS VMs

  • Disabilitazione della crittografia nelle unità dati per le macchine virtuali IaaS LinuxDisabling encryption on data drives for Linux IaaS VMs

  • Abilitazione della crittografia in macchine virtuali IaaS in esecuzione nel sistema operativo client WindowsEnabling encryption on IaaS VMs that are running Windows client OS

  • Abilitazione della crittografia su volumi con percorsi di montaggioEnabling encryption on volumes with mount paths

  • Abilitazione della crittografia nelle macchine virtuali Linux configurate con striping del disco (RAID) tramite mdadmEnabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm

  • Abilitazione della crittografia nelle macchine virtuali Linux usando LVM (Logical Volume Manager) per i dischi di datiEnabling encryption on Linux VMs by using LVM(Logical Volume Manager) for data disks

  • Abilitazione della crittografia nelle macchine virtuali Windows configurate usando spazi di archiviazioneEnabling encryption on Windows VMs that are configured by using storage spaces

  • Sono supportate tutte le aree geografiche pubbliche di AzureAll Azure public regions are supported

La soluzione non supporta gli scenari, le funzionalità e la tecnologia seguenti in questa versione:The solution does not support the following scenarios, features, and technology in the release:

  • VM IaaS del piano BasicBasic tier IaaS VMs

  • Disabilitazione della crittografia in un'unità del sistema operativo per le VM IaaS LinuxDisabling encryption on an OS drive for Linux IaaS VMs

  • Macchine virtuali IaaS create usando il metodo di creazione classico per le macchine virtualiIaaS VMs that are created by using the classic VM creation method

  • Integrazione con il servizio di gestione delle chiavi locale.Integration with your on-premises Key Management Service

  • File di Azure (file system condiviso), file system di rete (NFS, Network File System), volumi dinamici e macchine virtuali Windows configurate con sistemi RAID basati su softwareAzure Files (shared file system), Network File System (NFS), dynamic volumes, and Windows VMs that are configured with software-based RAID systems

Isolamento del database SQL AzureSQL Azure Database Isolation

Il database SQL è un servizio di database relazionale sul cloud Microsoft basato sul motore Microsoft SQL Server, leader di mercato, e in grado di gestire carichi di lavoro di importanza strategica.SQL Database is a relational database service in the Microsoft cloud based on the market-leading Microsoft SQL Server engine and capable of handling mission-critical workloads. Il database SQL di Azure offre isolamento prevedibile dei dati a livello di account, in base all'area geografica e alla rete, con esigenze di amministrazione quasi nulle.SQL Database offers predictable data isolation at account level, geography / region based and based on networking— all with near-zero administration.

Modello applicativo di SQL AzureSQL Azure Application Model

Il database di Microsoft SQL Azure è un servizio di database relazionale basato sul cloud che si avvale delle tecnologie SQL Server.Microsoft SQL Azure Database is a cloud-based relational database service built on SQL Server technologies. Fornisce un servizio di database a disponibilità elevata, scalabile e multi-tenant ospitato da Microsoft nel cloud.It provides a highly available, scalable, multi-tenant database service hosted by Microsoft in cloud.

Dal punto di vista dell'applicazione, SQL Azure fornisce la gerarchia seguente. Ogni livello ha una relazione di contenimento uno-a-molti per questi livelli.From an application perspective SQL Azure provides the following hierarchy: Each level has one-to-many containment of levels below.

Modello applicativo di SQL Azure

Account e sottoscrizione sono concetti della piattaforma Microsoft Azure per associare fatturazione e gestione.The account and subscription are Microsoft Azure platform concepts to associate billing and management.

Database e server logici sono concetti specifici di SQL Azure e vengono gestiti tramite SQL Azure, con le interfacce OData e TSQL fornite oppure tramite il portale SQL Azure integrato nel portale di Azure.Logical servers and databases are SQL Azure-specific concepts and are managed by using SQL Azure, provided OData and TSQL interfaces or via SQL Azure portal that integrated into Azure portal.

I server SQL Azure non sono istanze di macchine virtuali o fisiche, ma sono raccolte di database, con criteri di sicurezza e gestione condivisi, archiviate nel cosiddetto database "master logico".SQL Azure servers are not physical or VM instances, instead they are collections of databases, sharing management and security policies, which are stored in so called “logical master” database.

SQL Azure

I database master logici includono:Logical master databases include:

  • Account di accesso SQL usati per connettersi al serverSQL logins used to connect to the server

  • Regole del firewallFirewall rules

Le informazioni sulla fatturazione e l'uso per i database SQL di Azure dello stesso server logico non si trovano necessariamente nella stessa istanza fisica del cluster di SQL Azure, mentre le applicazioni devono fornire il nome del database di destinazione durante la connessione.Billing and usage-related information for SQL Azure databases from the same logical server are not guaranteed to be on the same physical instance in SQL Azure cluster, instead applications must provide the target database name when connecting.

Dal punto di vista del cliente, un server logico viene creato in un'area geografica, mentre la creazione effettiva del server viene eseguita in uno dei cluster disponibili nell'area.From a customer perspective, a logical server is created in a geo-graphical region while the actual creation of the server happens in one of the clusters in the region.

Isolamento tramite la topologia della reteIsolation through Network Topology

Quando viene creato un server logico e viene registrato il relativo nome DNS, questo nome punta all'indirizzo denominato "Gateway VIP" nel data center in cui si trova il server.When a logical server is created and its DNS name is registered, the DNS name points to the so called “Gateway VIP” address in the specific data center where the server was placed.

Dietro l'indirizzo VIP (indirizzo IP virtuale) è presente una raccolta di servizi di gateway senza stato.Behind the VIP (virtual IP address), we have a collection of stateless gateway services. In generale, i gateway vengono coinvolti quando è necessario coordinare più origini dati, ovvero database master, database utente e così via.In general, gateways get involved when there is coordination needed between multiple data sources (master database, user database, etc.). I servizi gateway implementano gli elementi seguenti:Gateway services implement the following:

  • Inoltro dei dati tramite connessione TDS.TDS connection proxying. Comprende l'identificazione del database utente nel cluster back-end, l'implementazione della sequenza di accesso e quindi l'inoltro dei pacchetti TDS al back-end e viceversa.This includes locating user database in the backend cluster, implementing the login sequence and then forwarding the TDS packets to the backend and back.

  • Gestione database.Database management. Comprende l'implementazione di una raccolta di flussi di lavoro per eseguire operazioni di database CREATE/ALTER/DROP.This includes implementing a collection of workflows to do CREATE/ALTER/DROP database operations. Le operazioni di database possono essere richiamate analizzando pacchetti TDS o API OData esplicite.The database operations can be invoked by either sniffing TDS packets or explicit OData APIs.

  • Operazioni CREATE/ALTER/DROP per account di accesso/utentiCREATE/ALTER/DROP login/user operations

  • Operazioni di gestione di server logici tramite API ODataLogical server management operations via OData API

Isolamento tramite la topologia della rete

Il livello dietro il gateway è denominato "back-end".The tier behind the gateways is called “back-end”. Qui vengono archiviati tutti i dati in una modalità a disponibilità elevata.This is where all the data is stored in a highly available fashion. Ogni dato appartiene a una partizione o unità di failover, ognuna con almeno tre repliche.Each piece of data is said to belong to a “partition” or “failover unit”, each of them having at least three replicas. Le repliche vengono archiviate e replicate dal motore di SQL Server e gestite da un sistema di failover, noto anche come "infrastruttura".Replicas are stored and replicated by SQL Server engine and managed by a failover system often referred to as “fabric”.

In genere, il sistema back-end non comunica in uscita con altri sistemi come misura di sicurezza.Generally, the back-end system does not communicate outbound to other systems as a security precaution. Questo tipo di comunicazione è riservata ai sistemi nel livello front-end (gateway).This is reserved to the systems in the front-end (gateway) tier. Le macchine di livello gateway hanno privilegi limitati per le macchine back-end per ridurre al minimo la superficie di attacco come meccanismo di difesa avanzata.The gateway tier machines have limited privileges on the back-end machines to minimize the attack surface as a defense-in-depth mechanism.

Isolamento in base all'accesso e alla funzione della macchinaIsolation by Machine Function and Access

SQL Azure è composto da servizi in esecuzione in funzioni differenti della macchina.SQL Azure (is composed of services running on different machine functions. È diviso in ambiente database cloud "back-end" e ambiente "front-end" (gateway/gestione), con il principio generale secondo cui il traffico è diretto al back-end e non all'esterno. L'ambiente front-end può comunicare con altri servizi esterni e in generale ha solo autorizzazioni limitate nel back-end, sufficienti a chiamare i punti di ingresso necessari.SQL Azure is divided into “backend” Cloud Database and “front-end” (Gateway/Management) environments, with the general principle of traffic only going into back-end and not out. The front-end environment can communicate to the outside world of other services and in general, has only limited permissions in the back-end (enough to call the entry points it needs to invoke).

Isolamento della reteNetworking Isolation

La distribuzione di Azure offre più livelli di isolamento della rete.Azure deployment has multiple layers of network isolation. Il diagramma seguente mostra i vari livelli di isolamento della rete che Azure offre ai clienti.The following diagram shows various layers of network isolation Azure provides to customers. Questi livelli sono costituiti sia da funzionalità native della piattaforma Azure, sia da funzionalità definite dal cliente.These layers are both native in the Azure platform itself and customer-defined features. Per il traffico in ingresso da Internet, Azure DDoS fornisce l'isolamento da attacchi su larga scala contro Azure.Inbound from the Internet, Azure DDoS provides isolation against large-scale attacks against Azure. Il livello di isolamento successivo è costituito da indirizzi IP pubblici (endpoint) definiti dall'utente, usati per determinare il traffico che può passare alla rete virtuale attraverso il servizio cloud.The next layer of isolation is customer-defined public IP addresses (endpoints), which are used to determine which traffic can pass through the cloud service to the virtual network. L'isolamento nativo della rete virtuale di Azure assicura l'isolamento completo da tutte le altre reti e il flusso di traffico solo tramite percorsi e metodi configurati dall'utente.Native Azure virtual network isolation ensures complete isolation from all other networks, and that traffic only flows through user configured paths and methods. Questi percorsi e metodi costituiscono il livello successivo, in cui è possibile usare NSG, UDR e appliance virtuali di rete per creare limiti di isolamento e proteggere le distribuzioni delle applicazioni nella rete protetta.These paths and methods are the next layer, where NSGs, UDR, and network virtual appliances can be used to create isolation boundaries to protect the application deployments in the protected network.

Isolamento della rete

Isolamento del traffico: una rete virtuale è il limite di isolamento del traffico nella piattaforma Azure.Traffic isolation: A virtual network is the traffic isolation boundary on the Azure platform. Le macchine virtuali (VM) in una rete virtuale non possono comunicare direttamente con le VM in una rete virtuale diversa, anche se entrambe le reti virtuali vengono create dallo stesso cliente.Virtual machines (VMs) in one virtual network cannot communicate directly to VMs in a different virtual network, even if both virtual networks are created by the same customer. L'isolamento è una proprietà essenziale che assicura che le macchine virtuali e le comunicazioni dei clienti rimangano private entro una rete virtuale.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network.

La subnet offre un livello di isolamento aggiuntivo nella rete virtuale in base a un intervallo di indirizzi IP.Subnet offers an additional layer of isolation with in virtual network based on IP range. È possibile suddividere la rete virtuale in più subnet per una maggiore organizzazione e sicurezza.IP addresses in the virtual network, you can divide a virtual network into multiple subnets for organization and security. Le VM e le istanze del ruolo PaaS distribuite nelle subnet (nella stessa o in diverse) in una rete virtuale possono comunicare tra loro senza nessuna configurazione aggiuntiva.VMs and PaaS role instances deployed to subnets (same or different) within a VNet can communicate with each other without any extra configuration. È anche possibile configurare un gruppo di sicurezza di rete (NSG) per consentire o negare il traffico di rete verso un'istanza di macchina virtuale in base alle regole configurate nell'elenco di controllo di accesso (ACL) del gruppo di sicurezza di rete.You can also configure network security group (NSGs) to allow or deny network traffic to a VM instance based on rules configured in access control list (ACL) of NSG. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze VM in una subnet.NSGs can be associated with either subnets or individual VM instances within that subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di VM in tale subnet.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet.

Passaggi successiviNext Steps

Comprendono il tipico scenario di front-end e back-end in cui le macchine di una particolare rete back-end o subnet possono consentire solo ad alcuni client o altri computer di connettersi a un endpoint specifico in base a un elenco di indirizzi IP consentiti.This includes the classic front-end and back-end scenario where machines in a particular back-end network or subnetwork may only allow certain clients or other computers to connect to a particular endpoint based on a whitelist of IP addresses.

Microsoft Azure offre numerosi servizi di calcolo basati sul cloud che includono un'ampia gamma di istanze e servizi di calcolo con scalabilità automatica per soddisfare le esigenze dell'applicazione o dell'organizzazione.Microsoft Azure provides a various cloud-based computing services that include a wide selection of compute instances & services that can scale up and down automatically to meet the needs of your application or enterprise.

Microsoft Azure separa tra loro il calcolo e l'archiviazione basati sulle VM.Microsoft Azure separates customer VM-based computation from storage. Questa separazione consente la scalabilità indipendente di calcolo e archiviazione, semplificando l'uso di multi-tenancy e isolamento.This separation enables computation and storage to scale independently, making it easier to provide multi-tenancy and isolation. Il servizio Archiviazione di Azure viene quindi eseguito in hardware separato senza alcuna connettività di rete ai servizi di calcolo di Azure, ad eccezione di quella logica.Therefore, Azure Storage runs on separate hardware with no network connectivity to Azure Compute except logically. Tutte le richieste vengono eseguite tramite HTTP o HTTPS in base alla scelta del cliente.All requests run over HTTP or HTTPS based on customer’s choice.