Procedure consigliate per la sicurezza operativa di Azure

  • Articolo

Questo articolo fornisce un set di procedure consigliate operative per la protezione di dati, applicazioni e altri asset in Azure.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.

Definire e distribuire procedure di sicurezza operative avanzate

La sicurezza operativa di Azure include i servizi, i controlli e le funzionalità offerti agli utenti per proteggere i dati, le applicazioni e gli altri asset di Azure. La sicurezza operativa di Azure si basa su un framework che incorpora le conoscenze acquisite tramite funzionalità univoche di Microsoft, tra cui Microsoft Security Development Lifecycle (SDL), il programma Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la sicurezza informatica.

Applicare la verifica a più fattori per gli utenti

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.

Sono disponibili vari modi per richiedere la verifica in due passaggi. L'opzione migliore dipende dagli obiettivi, dall'edizione Microsoft Entra in esecuzione e dal programma di licenza. Vedere Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per il proprio ambiente. Per altre informazioni sulle licenze e sui prezzi, vedere le pagine dei prezzi di Microsoft Entra ID e Microsoft Entra multifactor Authentication .

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:

Opzione 1: Abilitare MFA per tutti gli utenti e i metodi di accesso con il vantaggio Microsoft Entra Security Defaults: questa opzione consente di applicare facilmente e rapidamente MFA per tutti gli utenti nell'ambiente con criteri rigorosi per:

  • Verificare gli account amministrativi e i meccanismi di accesso amministrativo
  • Richiedere la verifica con autenticazione MFA tramite Microsoft Authenticator per tutti gli utenti
  • Bloccare i protocolli di autenticazione legacy

Questo metodo è disponibile per tutti i livelli di licenza, ma non può essere combinato con criteri di accesso condizionale esistenti. Per altre informazioni, vedere Impostazioni predefinite per la sicurezza di Microsoft Entra

Opzione 2: abilitare l'autenticazione a più fattori modificando lo stato utente.
Vantaggio questo è il metodo tradizionale per richiedere la verifica in due passaggi. Funziona sia con l'autenticazione a più fattori Microsoft Entra nel cloud che con il server Azure Multi-Factor Authentication. Con questo metodo gli utenti devono eseguire la verifica in due passaggi ogni volta che eseguono l'accesso e viene eseguito l'override dei criteri di accesso condizionale.

Per determinare dove deve essere abilitata l'autenticazione a più fattori, vedere Quale versione dell'autenticazione a più fattori Di Microsoft Entra è adatta per l'organizzazione?

Opzione 3: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale. Vantaggio: questa opzione consente di richiedere la verifica in due passaggi in condizioni specifiche usando l'accesso condizionale. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti. L'abilitazione di un criterio di accesso condizionale funziona solo per l'autenticazione a più fattori Microsoft Entra nel cloud ed è una funzionalità premium di Microsoft Entra ID. Per altre informazioni su questo metodo, vedere Distribuire l'autenticazione a più fattori Microsoft Entra basata sul cloud.

Opzione 4: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale valutando i criteri di accesso condizionale basati sul rischio.
Vantaggio: questa opzione consente di:

  • Rilevare potenziali vulnerabilità che influiscono sulle identità dell'organizzazione.
  • Configurare risposte automatiche alle azioni sospette rilevate correlate alle identità dell'organizzazione.
  • Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.

Questo metodo usa la valutazione dei rischi di Microsoft Entra ID Protection per determinare se è necessaria la verifica in due passaggi in base al rischio utente e di accesso per tutte le applicazioni cloud. Questo metodo richiede la licenza Microsoft Entra ID P2. Per altre informazioni su questo metodo, vedere Microsoft Entra ID Protection.You can find more information on this method in Microsoft Entra ID Protection.

Nota

Opzione 2, abilitazione dell'autenticazione a più fattori modificando lo stato utente, esegue l'override dei criteri di accesso condizionale. Poiché le opzioni 3 e 4 usano i criteri di accesso condizionale, non è possibile usare l'opzione 2 con tali criteri.

Le organizzazioni che non aggiungono livelli aggiuntivi di protezione delle identità, ad esempio la verifica in due passaggi, sono più vulnerabili agli attacchi di furto di credenziali. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.

Gestire e monitorare le password utente

La tabella seguente elenca alcune procedure consigliate relative alla gestione delle password utente:

Procedura consigliata: assicurarsi di avere il livello di protezione delle password appropriato nel cloud.
Dettagli: seguire le indicazioni riportate in Microsoft Password Guidance, che ha come ambito gli utenti delle piattaforme di gestione delle identità Microsoft (Microsoft Entra ID, Active Directory e account Microsoft).

Procedura consigliata: monitorare le azioni sospette correlate agli account utente.
Dettagli: monitorare gli utenti a rischio e gli accessi a rischio usando i report di sicurezza di Microsoft Entra.

Procedura consigliata: rilevare e correggere automaticamente le password ad alto rischio.
Dettagli: Microsoft Entra ID Protection è una funzionalità dell'edizione Microsoft Entra ID P2 che consente di:

  • Rilevare potenziali vulnerabilità che influiscono sulle identità dell'organizzazione
  • Configurare risposte automatizzate alle azioni sospette rilevate correlate alle identità dell'organizzazione
  • Analizzare gli eventi imprevisti sospetti ed eseguire azioni appropriate per risolverli

Ricevere notifiche sugli eventi imprevisti da Microsoft

Assicurarsi che il team addetto alle operazioni di sicurezza riceva le notifiche degli eventi imprevisti di Azure da Microsoft. Una notifica degli eventi imprevisti consente al team di sicurezza di conoscere le risorse di Azure compromesse in modo che possano rispondere rapidamente e correggere potenziali rischi per la sicurezza.

Nel portale di registrazione di Azure è possibile assicurarsi che le informazioni di contatto dell'amministratore includano i dettagli che notificano le operazioni di sicurezza. Le informazioni di contatto sono un indirizzo di posta elettronica e un numero di telefono.

Organizzare le sottoscrizioni di Azure in gruppi di gestione

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di ambito superiore alle sottoscrizioni. Le sottoscrizioni vengono organizzate in contenitori denominati gruppi di gestione e le condizioni di governance vengono applicate ai gruppi di gestione. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni in una directory. A ogni directory viene assegnato un singolo gruppo di gestione di primo livello denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Il gruppo di gestione radice consente l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory.

Ecco alcune procedure consigliate per l'uso dei gruppi di gestione:

Procedura consigliata: assicurarsi che le nuove sottoscrizioni applichino elementi di governance come criteri e autorizzazioni man mano che vengono aggiunti.
Dettagli: usare il gruppo di gestione radice per assegnare elementi di sicurezza a livello aziendale che si applicano a tutti gli asset di Azure. Criteri e autorizzazioni sono esempi di elementi.

Procedura consigliata: allineare i livelli principali dei gruppi di gestione con la strategia di segmentazione per fornire un punto per il controllo e la coerenza dei criteri all'interno di ogni segmento.
Dettagli: creare un singolo gruppo di gestione per ogni segmento nel gruppo di gestione radice. Non creare altri gruppi di gestione nella radice.

Procedura consigliata: limitare la profondità del gruppo di gestione per evitare confusione che ostacola le operazioni e la sicurezza.
Dettagli: limitare la gerarchia a tre livelli, inclusa la radice.

Procedura consigliata: selezionare attentamente gli elementi da applicare all'intera organizzazione con il gruppo di gestione radice.
Dettagli: assicurarsi che gli elementi del gruppo di gestione radice abbiano una chiara necessità di essere applicati in ogni risorsa e che abbiano un impatto basso.

Ecco alcuni candidati appropriati:

  • Requisiti normativi che hanno un chiaro impatto aziendale (ad esempio, restrizioni correlate alla sovranità dei dati)
  • Requisiti con un potenziale effetto negativo quasi zero sulle operazioni, ad esempio criteri con effetto di controllo o assegnazioni di autorizzazioni di Controllo degli accessi in base al ruolo di Azure che sono state esaminate attentamente

Procedura consigliata: pianificare e testare attentamente tutte le modifiche a livello aziendale nel gruppo di gestione radice prima di applicarle (criteri, modello di Controllo degli accessi in base al ruolo di Azure e così via).
Dettagli: le modifiche nel gruppo di gestione radice possono influire su ogni risorsa in Azure. Sebbene forniscano un modo efficace per garantire la coerenza tra le aziende, gli errori o l'utilizzo errato possono influire negativamente sulle operazioni di produzione. Testare tutte le modifiche apportate al gruppo di gestione radice in un lab di test o in un progetto pilota di produzione.

Semplificare la creazione dell'ambiente con i progetti

Il servizio Azure Blueprints consente agli architetti cloud e ai gruppi centrali di information technology di definire un set ripetibile di risorse di Azure che implementa e rispetta gli standard, i modelli e i requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e gestire rapidamente nuovi ambienti con un set di componenti predefiniti e la certezza che stanno creando tali ambienti entro la conformità dell'organizzazione.

Monitorare i servizi di archiviazione per rilevare cambiamenti inattesi nel comportamento

La diagnosi e la risoluzione dei problemi in un'applicazione distribuita ospitata in un ambiente cloud possono essere più complesse di quanto lo siano in ambienti tradizionali. Le applicazioni possono essere distribuite in un'infrastruttura PaaS o IaaS, in locale, su un dispositivo mobile o in una combinazione di questi tipi di ambienti. Il traffico di rete dell'applicazione può passare su reti pubbliche e private e l'applicazione può usare più tecnologie di archiviazione.

È consigliabile monitorare continuamente i servizi di archiviazione usati dall'applicazione per individuare eventuali cambiamenti inattesi nel comportamento, ad esempio tempi di risposta più lunghi. Usare la registrazione per raccogliere dati più dettagliati e analizzare un problema in modo approfondito. Le informazioni di diagnostica che si ottengono con il monitoraggio e la registrazione aiutano a determinare la causa radice del problema incontrato dall'applicazione. È possibile quindi identificare il problema e determinare le misure appropriate per correggerlo.

Il servizio Analisi archiviazione di Azure esegue la registrazione e fornisce i dati di metrica per un account di archiviazione di Azure. È consigliabile usare questi dati per tenere traccia delle richieste, analizzare le tendenze di utilizzo e diagnosticare i problemi relativi al proprio account di archiviazione.

Prevenire le minacce, rilevarle e rispondere

Microsoft Defender per il cloud consente di evitare, rilevare e rispondere alle minacce offrendo maggiore visibilità (e controllo) sulla sicurezza delle risorse di Azure. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, aiuta il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con varie soluzioni di sicurezza.

Il livello gratuito di Defender per il cloud offre una sicurezza limitata per le risorse in Azure e per le risorse abilitate per Arc all'esterno di Azure. Le funzionalità di sicurezza Enahanced estendono queste funzionalità per includere gestione di minacce e vulnerabilità, nonché la creazione di report sulla conformità alle normative. Defender per il cloud Piani consentono di individuare e correggere le vulnerabilità di sicurezza, applicare controlli di accesso e applicazioni per bloccare le attività dannose, rilevare le minacce usando l'analisi e l'intelligence e rispondere rapidamente in caso di attacco. È possibile provare Defender per il cloud Standard senza costi per i primi 30 giorni. È consigliabile abilitare funzionalità di sicurezza avanzate nelle sottoscrizioni di Azure in Defender per il cloud.

Usare Defender per il cloud per ottenere una visualizzazione centrale dello stato di sicurezza di tutte le risorse nei data center, in Azure e in altri cloud. Il Centro sicurezza consente di verificare subito che i controlli di sicurezza appropriati siano implementati e configurati correttamente e di identificare rapidamente le risorse che richiedono attenzione.

Defender per il cloud si integra anche con Microsoft Defender per endpoint, che offre funzionalità di rilevamento e risposta (EDR) complete. Con Microsoft Defender per endpoint integrazione, è possibile individuare le anomalie e rilevare le vulnerabilità. È anche possibile rilevare e rispondere agli attacchi avanzati sugli endpoint server monitorati da Defender per il cloud.

Quasi tutte le organizzazioni aziendali dispongono di un sistema SIEM (Security Information and Event Management) per identificare le minacce emergenti consolidando le informazioni di log da diversi dispositivi di raccolta di segnali. I log vengono quindi analizzati da un sistema di analisi dei dati per identificare ciò che è "interessante" dal rumore che è inevitabile in tutte le soluzioni di raccolta e analisi dei log.

Microsoft Sentinel è una soluzione SIEM (Security Information And Event Management) e SOAR (Security Orchestration Automated Response) scalabile e nativa del cloud. Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce tramite il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta automatizzata alle minacce.

Ecco alcune procedure consigliate per prevenire, rilevare e rispondere alle minacce:

Procedura consigliata: aumentare la velocità e la scalabilità della soluzione SIEM usando informazioni di sicurezza e gestione degli eventi basate sul cloud.
Dettagli: esaminare le funzionalità e le funzionalità di Microsoft Sentinel e confrontarle con le funzionalità di ciò che si sta usando in locale. Prendere in considerazione l'adozione di Microsoft Sentinel se soddisfa i requisiti SIEM dell'organizzazione.

Procedura consigliata: trovare le vulnerabilità di sicurezza più gravi in modo da poter classificare in ordine di priorità l'indagine.
Dettagli: esaminare il punteggio di sicurezza di Azure per visualizzare le raccomandazioni risultanti dai criteri e dalle iniziative di Azure integrate in Microsoft Defender per il cloud. Queste raccomandazioni consentono di risolvere i principali rischi, ad esempio aggiornamenti della sicurezza, protezione degli endpoint, crittografia, configurazioni di sicurezza, WAF mancante, macchine virtuali connesse a Internet e molti altri ancora.

Il punteggio di sicurezza, basato sui controlli CIS (Center for Internet Security), consente di eseguire il benchmark della sicurezza di Azure dell'organizzazione rispetto alle origini esterne. La convalida esterna consente di convalidare e arricchire la strategia di sicurezza del team.

Procedura consigliata: monitorare il comportamento di sicurezza dei computer, delle reti, dei servizi di archiviazione e dati e delle applicazioni per individuare e classificare in ordine di priorità i potenziali problemi di sicurezza.
Dettagli: seguire le raccomandazioni sulla sicurezza in Defender per il cloud iniziare, con gli elementi con priorità più alta.

Procedura consigliata: integrare gli avvisi Defender per il cloud nella soluzione SIEM (Security Information and Event Management).
Dettagli: la maggior parte delle organizzazioni con una soluzione SIEM la usa come portale centrale per gli avvisi di sicurezza che richiedono la risposta di un analista. Gli eventi elaborati prodotti da Defender per il cloud vengono pubblicati nel log attività di Azure, uno dei log disponibili tramite Monitoraggio di Azure. Monitoraggio di Azure offre una pipeline consolidata per eseguire il routing dei dati di monitoraggio in uno strumento SIEM. Per istruzioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT. Se si usa Microsoft Sentinel, vedere Connessione Microsoft Defender per il cloud.

Procedura consigliata: integrare i log di Azure con la soluzione SIEM.
Dettagli: usare Monitoraggio di Azure per raccogliere ed esportare i dati. Questa procedura è fondamentale per abilitare l'analisi degli eventi imprevisti di sicurezza e la conservazione dei log online è limitata. Se si usa Microsoft Sentinel, vedere Connessione origini dati.

Procedura consigliata: velocizzare i processi di indagine e ricerca e ridurre i falsi positivi integrando le funzionalità di rilevamento e risposta degli endpoint (EDR) nell'analisi degli attacchi.
Dettagli: abilitare l'integrazione Microsoft Defender per endpoint tramite i criteri di sicurezza Defender per il cloud. Valutare l'opportunità di usare Microsoft Sentinel per la ricerca delle minacce e la risposta agli eventi imprevisti.

Monitoraggio della rete basato su scenari end-to-end

Per creare una rete end-to-end in Azure, i clienti combinano varie risorse di rete, ad esempio una rete virtuale, ExpressRoute, un gateway applicazione e servizi di bilanciamento del carico. Il monitoraggio è disponibile in ognuna delle risorse di rete.

Network Watcher di Azure è un servizio a livello di area, dotato di strumenti di diagnostica e di visualizzazione che consentono di monitorare e diagnosticare le condizioni a livello di scenario di rete in Azure, verso e da Azure.

Di seguito vengono descritte le procedure consigliate per il monitoraggio della rete e gli strumenti disponibili.

Procedura consigliata: automatizzare il monitoraggio remoto della rete con l'acquisizione pacchetti.
Dettaglio: monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali usando Network Watcher. Attivare l'acquisizione dei pacchetti impostando gli avvisi e ottenere l'accesso alle informazioni sulle prestazioni in tempo reale a livello del pacchetto. Quando viene rilevato un problema, è possibile esaminarlo in dettaglio per una diagnosi migliore.

Procedura consigliata: acquisire informazioni dettagliate sul traffico di rete usando i log dei flussi.
Dettaglio: ottenere informazioni approfondite sui modelli di traffico di rete con i log dei flussi del gruppo di sicurezza di rete. Le informazioni contenute nei log dei flussi aiutano a raccogliere i dati per la conformità, il controllo e il monitoraggio del profilo di sicurezza della rete.

Procedura consigliata: diagnosticare i problemi di connettività della VPN.
Dettaglio: usare Network Watcher per diagnosticare i problemi di connessione e di Gateway VPN più comuni. Non è solo possibile identificare il problema ma si può anche usare i log dettagliati per altre indagini.

Distribuzione sicura tramite strumenti DevOps collaudati

Usare le seguenti procedure consigliate di DevOps per assicurarsi che i team e l'azienda siano produttivi ed efficienti.

Procedura consigliata: automatizzare la creazione e la distribuzione di servizi.
Dettaglio: l'infrastruttura come codice rappresenta un set di tecniche e procedure che aiutano i professionisti IT a evitare il carico di lavoro associato alla creazione e alla gestione quotidiana dell'infrastruttura modulare. Lo scopo è consentire ai professionisti IT di creare e gestire un ambiente server moderno in modo simile a quello usato dagli sviluppatori di software per creare e gestire il codice delle applicazioni.

È possibile usare Azure Resource Manager per effettuare il provisioning delle applicazioni usando un modello dichiarativo. In un unico modello, è possibile distribuire più servizi con le relative dipendenze. Lo stesso modello viene usato per distribuire ripetutamente l'applicazione in ogni fase del ciclo di vita dell'applicazione.

Procedura consigliata: compilare e distribuire automaticamente app Web o servizi cloud di Azure.
Dettagli: è possibile configurare Azure DevOps Projects per compilare e distribuire automaticamente in app Web o servizi cloud di Azure. Azure DevOps distribuisce automaticamente i file binari dopo aver eseguito una compilazione in Azure dopo ogni archiviazione del codice. Il processo di compilazione del pacchetto equivale al comando Pacchetto di Visual Studio, mentre i passaggi per la pubblicazione equivalgono al comando Pubblica di Visual Studio.

Procedura consigliata: automatizzare la gestione del rilascio.
Dettaglio: Azure Pipelines è una soluzione per automatizzare la distribuzione in più fasi e la gestione del processo di rilascio. È possibile creare pipeline gestite di distribuzione continua per rilasciare versioni in modo rapido, semplice e frequente. Con Azure Pipelines è possibile automatizzare il processo di rilascio e definire flussi di lavoro predefiniti per l'approvazione. Sono supportate la distribuzione locale e nel cloud, l'estensione e la personalizzazione in base alle specifiche esigenze.

Procedura consigliata: verificare le prestazioni dell'app prima di implementarla o di distribuirne gli aggiornamenti nell'ambiente di produzione.
Dettagli: eseguire test di carico basati sul cloud per:

  • Individuare problemi di prestazioni nell'app.
  • Migliorare la qualità della distribuzione.
  • Assicurarsi che l'app sia sempre disponibile.
  • Assicurarsi che l'app possa gestire il traffico per la prossima campagna di lancio o di marketing.

Apache JMeter è uno strumento open source gratuito e diffuso con un forte supporto della community.

Procedura consigliata: monitorare le prestazioni dell'applicazione.
Dettaglio: Azure Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. È possibile usare Application Insights per monitorare l'applicazione Web mentre è in esecuzione. Il servizio rileva automaticamente le anomalie nelle prestazioni e include strumenti di analisi che consentono di diagnosticare i problemi e di conoscere come viene effettivamente usata l'app dagli utenti. È progettato per favorire un costante miglioramento delle prestazioni e dell'usabilità.

Attenuazione e protezione da attacchi Distributed Denial of Service (DDoS)

Il Distributed Denial of Service (DDoS) è un tipo di attacco che tenta di esaurire le risorse dell'applicazione. L'obiettivo è compromettere la disponibilità e la capacità dell'applicazione di gestire richieste legittime. Gli attacchi stanno diventando più sofisticati con dimensioni e impatto maggiori. Possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

La progettazione e la creazione per la resilienza agli attacchi Distributed Denial of Service (DDoS) richiedono pianificazione e progettazione per un'ampia gamma di modalità di errore. Di seguito vengono descritte le procedure consigliate per la creazione di servizi resilienti a DDoS in Azure.

Procedura consigliata: assicurarsi che la sicurezza sia un aspetto prioritario durante l'intero ciclo di vita di un'applicazione, dalla progettazione e l'implementazione alla distribuzione e al funzionamento. Le applicazioni possono contenere bug che consentono a un volume relativamente basso di richieste di usare una quantità elevata di risorse, provocando un'interruzione del servizio.
Dettaglio: per proteggere un servizio in esecuzione in Microsoft Azure, è consigliabile avere una buona conoscenza dell'architettura delle applicazioni e concentrarsi sui cinque punti chiave della qualità del software. I clienti devono conoscere i volumi di traffico tipici, il modello di connettività tra l'applicazione e le altre applicazioni e gli endpoint di servizio esposti a Internet pubblico.

Garantire che un'applicazione sia abbastanza resiliente da riuscire a gestire un attacco Denial of Service destinato all'applicazione stessa è di fondamentale importanza. Sicurezza e privacy sono integrate direttamente nella piattaforma di Azure, a partire dal processo Security Development Lifecycle (SDL). SDL si rivolge alla sicurezza in ogni fase di sviluppo e assicura che Azure sia continuamente aggiornato per renderlo ancora più sicuro.

Procedura consigliata: progettare le applicazioni con scalabilità orizzontale per soddisfare la richiesta di un carico amplificato, in particolare in caso di attacco DDoS. Se l'applicazione dipende da una singola istanza di un servizio, crea un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.
Dettaglio: per Servizio app di Azure selezionare un piano di servizio app che offra più istanze.

Per Servizi cloud di Azure, configurare ognuno dei ruoli in modo da usare più istanze.

Per Macchine virtuali di Microsoft Azure, verificare che l'architettura di VM includa più macchine virtuali e che ogni macchina virtuale sia inclusa in un set di disponibilità. È consigliabile usare set di scalabilità di macchine virtuali per le funzionalità di scalabilità automatica.

Procedura consigliata: la disposizione delle difese su più livelli in un'applicazione riduce le probabilità di riuscita degli attacchi. Implementare progettazioni sicure per le applicazioni tramite le funzionalità integrate della piattaforma di Azure.
Dettaglio: il rischio di attacco aumenta con le dimensioni (superficie di attacco) dell'applicazione. È possibile ridurre la superficie di attacco usando un elenco di approvazione per chiudere lo spazio indirizzi IP esposto e le porte di ascolto non necessarie nei servizi di bilanciamento del carico (Azure Load Balancer e app Azure lication Gateway).

I gruppi di sicurezza di rete rappresentano un altro modo per ridurre la superficie di attacco. È possibile usare tag di servizio e gruppi di sicurezza dell'applicazione per ridurre la complessità per la creazione della regola di sicurezza e configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione.

Distribuire i servizi di Azure in una rete virtuale, laddove possibile. Ciò consente alle risorse del servizio di comunicare attraverso indirizzi IP privati. Il traffico del servizio di Azure da una rete virtuale usa indirizzi IP pubblici come indirizzi IP di origine per impostazione predefinita.

Tramite gli endpoint di servizio il traffico del servizio passa all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale.

Le risorse locali dei clienti che vengono spesso attaccate insieme alle risorse in Azure. Se si connette un ambiente locale ad Azure, ridurre al minimo l'esposizione delle risorse locali alla rete Internet pubblica.

Azure prevede due offerte di servizio contro gli attacchi DDoS per la protezione della rete:

  • La protezione di base è integrata in Azure per impostazione predefinita senza costi aggiuntivi. La scala e la capacità complete della rete globalmente distribuita di Azure forniscono una difesa contro gli attacchi comuni a livello di rete tramite il monitoraggio costante del traffico e la mitigazione in tempo reale. La protezione di base non richiede alcuna modifica della configurazione utente o dell'applicazione e aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS come DNS di Azure.
  • La protezione standard offre funzionalità avanzate di attenuazione degli attacchi DDoS contro gli attacchi alla rete e viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure. La protezione è semplice da abilitare durante la creazione di reti virtuali. Può essere abilitata anche dopo la creazione e non richiede alcuna modifica delle applicazioni o delle risorse.

Abilitare Criteri di Azure

Criteri di Azure è un servizio in Azure usato per creare, assegnare e gestire i criteri. Questi criteri applicano regole ed effetti sulle risorse, in modo che tali risorse rimangano conformi agli standard aziendali e ai contratti di servizio. Criteri di Azure soddisfa questa esigenza valutando la mancata conformità delle risorse ai criteri assegnati.

Abilitare Criteri di Azure per monitorare e applicare i criteri scritti dell'organizzazione. In questo modo si garantisce la conformità ai requisiti di sicurezza aziendali o normativi gestendo centralmente i criteri di sicurezza nei carichi di lavoro del cloud ibrido. Informazioni su come creare e gestire i criteri per applicare la conformità. Per una panoramica degli elementi di un criterio, vedere Criteri di Azure struttura di definizione.

Ecco alcune procedure consigliate per la sicurezza da seguire dopo aver adottato Criteri di Azure:

Procedura consigliata: i criteri supportano diversi tipi di effetti. È possibile leggerle in Criteri di Azure struttura di definizione. Le operazioni aziendali possono essere influenzate negativamente dall'effetto di negazione e dall'effetto di correzione , quindi iniziare con l'effetto di controllo per limitare il rischio di impatto negativo dai criteri.
Dettagli: avviare le distribuzioni dei criteri in modalità di controllo e quindi procedere successivamente per negare o correggere. Testare ed esaminare i risultati dell'effetto di controllo prima di passare alla negazione o alla correzione.

Per altre informazioni, vedere Creare e gestire i criteri per applicare la conformità.

Procedura consigliata: identificare i ruoli responsabili del monitoraggio delle violazioni dei criteri e garantire che venga eseguita rapidamente l'azione di correzione corretta.
Dettagli: chiedere al ruolo assegnato di monitorare la conformità tramite il portale di Azure o tramite la riga di comando.

Procedura consigliata: Criteri di Azure è una rappresentazione tecnica dei criteri scritti di un'organizzazione. Eseguire il mapping di tutte le definizioni di Criteri di Azure ai criteri dell'organizzazione per ridurre la confusione e aumentare la coerenza.
Dettagli: mapping dei documenti nella documentazione dell'organizzazione o nella definizione di Criteri di Azure stessa aggiungendo un riferimento ai criteri dell'organizzazione nella definizione dei criteri o nella descrizione della definizione dell'iniziativa.

Monitorare i report sui rischi di Microsoft Entra

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente. L'individuazione di identità compromesse non è un'operazione semplice. Microsoft Entra ID usa algoritmi di Machine Learning adattivi ed euristica per rilevare azioni sospette correlate agli account utente. Ogni azione sospetta rilevata viene archiviata in un record detto rilevamento di rischi. I rilevamenti dei rischi vengono registrati nei report di sicurezza di Microsoft Entra. Per altre informazioni, vedere il report sulla sicurezza degli utenti a rischio e il report sulla sicurezza degli accessi a rischio.

Passaggi successivi

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati: