Introduzione alla sicurezza in AzureIntroduction to Azure Security

PanoramicaOverview

La sicurezza è la priorità principale nel cloud ed è importante che l'utente trovi informazioni accurate e tempestive sulla sicurezza di Azure.We know that security is job one in the cloud and how important it is that you find accurate and timely information about Azure security. Uno dei motivi migliori per usare Azure per le proprie applicazioni e i propri servizi consiste nella possibilità di sfruttare una vasta gamma di strumenti e funzionalità per la sicurezza.One of the best reasons to use Azure for your applications and services is to take advantage of its wide array of security tools and capabilities. Questi strumenti e queste funzionalità consentono di creare soluzioni sicure sulla piattaforma Azure protetta.These tools and capabilities help make it possible to create secure solutions on the secure Azure platform. Microsoft Azure garantisce la riservatezza, l'integrità e la disponibilità dei dati dei clienti, assicurando anche al tempo stesso una rendicontazione trasparente.Microsoft Azure provides confidentiality, integrity, and availability of customer data, while also enabling transparent accountability.

Per consentire una migliore comprensione della raccolta di controlli di sicurezza implementati in Microsoft Azure dal punto di vista sia del cliente sia delle operazioni Microsoft, questo white paper, "Introduzione alla sicurezza in Azure", offre una panoramica completa delle funzionalità di sicurezza disponibili in Microsoft Azure.To help you better understand the collection of security controls implemented within Microsoft Azure from both the customer's and Microsoft operations' perspectives, this white paper, "Introduction to Azure Security", is written to provide a comprehensive look at the security available with Microsoft Azure.

Piattaforma AzureAzure Platform

Azure è una piattaforma di servizi cloud pubblici che supporta un'ampia gamma di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.Azure is a public cloud service platform that supports a broad selection of operating systems, programming languages, frameworks, tools, databases, and devices. Può eseguire contenitori Linux con integrazione con Docker, compilare app con JavaScript, Python, .NET, PHP, Java e Node.js e creare back-end per dispositivi iOS, Android e Windows.It can run Linux containers with Docker integration; build apps with JavaScript, Python, .NET, PHP, Java, and Node.js; build back-ends for iOS, Android, and Windows devices.

I servizi cloud pubblici di Azure supportano le stesse tecnologie già considerate affidabili e usate da milioni di sviluppatori e professionisti IT.Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust. Creando asset IT o eseguendone la migrazione in un provider di servizi cloud pubblici, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli offerti per gestire la sicurezza degli asset basati sul cloud.When you build on, or migrate IT assets to, a public cloud service provider you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare simultaneamente milioni di clienti e garantisce alle aziende una solida base per poterne soddisfare i requisiti di sicurezza.Azure’s infrastructure is designed from facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security requirements.

Azure, inoltre, offre una vasta gamma di opzioni di sicurezza configurabili e la possibilità di controllarle in modo da personalizzare la sicurezza in base ai requisiti univoci delle distribuzioni della propria organizzazione.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your organization’s deployments. Questo documento consente di comprendere come le funzionalità di sicurezza di Azure consentono di soddisfare tali requisiti.This document helps you understand how Azure security capabilities can help you fulfill these requirements.

Nota

L'argomento principale di questo documento sono i controlli destinati ai clienti che è possibile usare per personalizzare e aumentare la sicurezza delle proprie applicazioni e dei propri servizi.The primary focus of this document is on customer-facing controls that you can use to customize and increase security for your applications and services.

Le informazioni offerte costituiscono una panoramica. Per informazioni dettagliate sul modo in cui Microsoft protegge la piattaforma Azure, vedere le informazioni disponibili nel sito Microsoft Trust Center.We do provide some overview information, but for detailed information on how Microsoft secures the Azure platform itself, see information provided in the Microsoft Trust Center.

SuntoAbstract

Inizialmente, le migrazioni a cloud pubblici erano motivate dalla riduzione dei costi e dalla flessibilità di innovazione.Initially, public cloud migrations were driven by cost savings and agility to innovate. Per un certo periodo, la sicurezza è stata un'importante fonte di preoccupazione e anche un deterrente alla migrazione a cloud pubblici.Security was considered a major concern for some time, and even a show stopper, for public cloud migration. La sicurezza dei cloud pubblici, tuttavia, si è trasformata da fonte di preoccupazione a fattore determinante in favore della migrazione cloud.However, public cloud security has transitioned from a major concern to one of the drivers for cloud migration. La motivazione di base è la superiore capacità dei grandi provider di servizi cloud pubblici di proteggere le applicazioni e i dati degli asset basati sul cloud.The rationale behind this is the superior ability of large public cloud service providers to protect applications and the data of cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure, inoltre, offre una vasta gamma di opzioni di sicurezza configurabili e la possibilità di controllarle in modo da personalizzare la sicurezza in base ai requisiti univoci delle distribuzioni per rispettare i criteri di controllo del reparto IT e i regolamenti esterni.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your deployments to meet your IT control policies and adhere to external regulations.

Questo documento illustra l'approccio di Microsoft alla sicurezza all'interno della piattaforma cloud Microsoft Azure:This paper outlines Microsoft’s approach to security within the Microsoft Azure cloud platform:

  • Funzionalità di sicurezza implementate da Microsoft per proteggere l'infrastruttura di Azure, i dati dei clienti e le applicazioni.Security features implemented by Microsoft to secure the Azure infrastructure, customer data, and applications.
  • Servizi e funzionalità di sicurezza di Azure a disposizione degli utenti per gestire la sicurezza dei servizi e dei dati all'interno delle sottoscrizioni di Azure.Azure services and security features available to you to manage the Security of the Services and your data within your Azure subscriptions.

Riepilogo delle funzionalità di sicurezza di AzureSummary Azure Security Capabilities

La tabella seguente offre una breve descrizione delle funzionalità di sicurezza implementate da Microsoft per proteggere l'infrastruttura di Azure, i dati dei clienti e le applicazioni.The table following provide a brief description of the security features implemented by Microsoft to secure the Azure infrastructure, customer data, and secure applications.

Funzionalità di sicurezza implementate per proteggere la piattaforma Azure:Security Features Implemented to Secure the Azure Platform:

Di seguito sono elencate le funzionalità che è possibile esaminare per assicurarsi che la piattaforma Azure venga gestita in modo sicuro.The features listed following are capabilities you can review to provide the assurance that the Azure Platform is managed in a secure manner. I collegamenti disponibili consentono di approfondire come Microsoft affronta gli aspetti della protezione dei clienti in quattro aree: sicurezza della piattaforma, privacy e controlli, conformità e trasparenza.Links have been provided for further drill-down on how Microsoft addresses customer trust questions in four areas: Secure Platform, Privacy & Controls, Compliance, and Transparency.

Sicurezza della piattaformaSecure Platform Privacy e controlliPrivacy & Controls ConformitàCompliance TrasparenzaTransparency
Ciclo di sviluppo per la sicurezza, controlli interniSecurity Development Cycle, Internal audits Gestione costante dei propri datiManage your data all the time Centro protezioneTrust Center Come vengono protetti da Microsoft i dati dei clienti nei servizi di AzureHow Microsoft secures customer data in Azure services
Formazione sulla sicurezza obbligatoria, controlli del backgroundMandatory Security training, back ground checks Controllo sulla posizione dei datiControl on data location Common Controls HubCommon Controls Hub Come viene gestita da Microsoft la posizione dei dati nei servizi di AzureHow Microsoft manage data location in Azure services
Test di penetrazione, rilevamento delle intrusioni, DDoS, controlli e registrazionePenetration testing, intrusion detection, DDoS, Audits & logging Accesso ai dati in base ai propri terminiProvide data access on your terms Elenco di controllo della due diligence per i servizi cloudThe Cloud Services Due Diligence Checklist Personale Microsoft che ha accesso ai dati e in quali terminiWho in Microsoft can access your data on what terms
Data center all'avanguardia, sicurezza fisica, rete protettaState of art datacentre, physical security, Secure Network Risposta alle richieste delle forze dell'ordineResponding to law enforcement Conformità in base al servizio, alla località e al settoreCompliance by service, location & Industry Come vengono protetti da Microsoft i dati dei clienti nei servizi di AzureHow Microsoft secures customer data in Azure services
Risposta a eventi imprevisti di sicurezza, responsabilità condivisaSecurity Incident response, Shared Responsibility Standard di privacy rigorosiStringent privacy standards Certificazione di verifica per i servizi di Azure, hub per la trasparenzaReview certification for Azure services, Transparency hub

Funzionalità di sicurezza offerte da Azure per proteggere i dati e l'applicazioneSecurity Features Offered by Azure to Secure Data and Application

A seconda del modello di servizio cloud, la responsabilità per le persone incaricate della gestione della sicurezza per l'applicazione o il servizio può variare.Depending on the cloud service model, there is variable responsibility for who is responsible for managing the security of the application or service. Nella piattaforma Azure sono disponibili funzionalità che consentono di adempiere a tali responsabilità con caratteristiche predefinite e tramite soluzioni di partner che possono essere distribuite in una sottoscrizione di Azure.There are capabilities available in the Azure Platform to assist you in meeting these responsibilities through built-in features, and through partner solutions that can be deployed into an Azure subscription.

Le funzionalità predefinite sono organizzate in sei (6) aree funzionali: operazioni, applicazioni, archiviazione, rete, calcolo e identità.The built-in capabilities are organized in six (6) functional areas: Operations, Applications, Storage, Networking, Compute, and Identity. Di seguito sono riportate informazioni di riepilogo che offrono altri dettagli sulle funzionalità e sulle caratteristiche disponibili nella piattaforma Azure in queste sei (6) aree.Additional detail on the features and capabilities available in the Azure Platform in these six (6) areas are provided through summary information.

OperazioniOperations

Questa sezione contiene informazioni aggiuntive sulle caratteristiche principali per le operazioni di sicurezza e informazioni di riepilogo su tali funzionalità.This section provides additional information regarding key features in security operations and summary information about these capabilities.

Dashboard Sicurezza e controllo di Operations Management SuiteOperations Management Suite Security and Audit Dashboard

La soluzione Sicurezza e controllo di OMS consente di ottenere un quadro completo dello stato della sicurezza IT dell'organizzazione con query di ricerca predefinite per i problemi rilevanti che richiedono l'attenzione dell'utente.The OMS Security and Audit solution provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. Il dashboard Sicurezza e controllo è la schermata iniziale per tutti gli elementi correlati alla sicurezza in OMS.The Security and Audit dashboard is the home screen for everything related to security in OMS. Offre una visione generale dello stato dei computer in termini di sicurezza.It provides high-level insight into the Security state of your computers. Consente anche di visualizzare tutti gli eventi delle ultime 24 ore, di 7 giorni o di qualsiasi altro intervallo di tempo personalizzato.It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

È anche possibile configurare OMS Security & Compliance per eseguire automaticamente azioni specifiche quando viene rilevato un determinato evento.In addition, you can configure OMS Security & Compliance to automatically carry out specific actions when a specific event is detected.

Gestione risorse di AzureAzure Resource Manager

Azure Resource Manager consente di usare le risorse incluse nella soluzione come un gruppo.Azure Resource Manager enables you to work with the resources in your solution as a group. È possibile distribuire, aggiornare o eliminare tutte le risorse della soluzione con un'unica operazione coordinata.You can deploy, update, or delete all the resources for your solution in a single, coordinated operation. Per la distribuzione viene usato un modello di Azure Resource Manager che può essere usato per diversi ambienti, ad esempio di testing, di staging e di produzione.You use an Azure Resource Manager template for deployment and that template can work for different environments such as testing, staging, and production. Gestione risorse offre funzionalità di sicurezza, controllo e categorizzazione che semplificano la gestione delle risorse dopo la distribuzione.Resource Manager provides security, auditing, and tagging features to help you manage your resources after deployment.

Le distribuzioni basate su un modello di Azure Resource Manager consentono di migliorare la sicurezza delle soluzioni distribuite in Azure perché le impostazioni sono controllate dalla sicurezza standard, che può essere integrata in distribuzioni basate su modelli standardizzate.Azure Resource Manager template-based deployments help improve the security of solutions deployed in Azure because standard security control settings and can be integrated into standardized template-based deployments. In questo modo si riduce il rischio di errori di configurazione della sicurezza che potrebbero verificarsi in caso di distribuzioni manuali.This reduces the risk of security configuration errors that might take place during manual deployments.

Application InsightsApplication Insights

Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web,Application Insights is an extensible Application Performance Management (APM) service for web developers. con cui è possibile monitorare le applicazioni Web live e rilevare automaticamente le anomalie nelle prestazioni.With Application Insights, you can monitor your live web applications and automatically detect performance anomalies. Application Insights include avanzati strumenti di analisi che consentono di diagnosticare i problemi e conoscere come vengono effettivamente usate le app dagli utenti.It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your apps. Esegue il monitoraggio dell'applicazione per tutto il tempo che è in esecuzione, sia durante il test che dopo la pubblicazione o la distribuzione.It monitors your application all the time it's running, both during testing and after you've published or deployed it.

Application Insights crea grafici e tabelle che illustrano, ad esempio, in quali ore del giorno si ottengono più utenti, i tempi di risposta dell'app e come funzionano i servizi esterni da cui dipende.Application Insights creates charts and tables that show you, for example, what times of day you get most users, how responsive the app is, and how well it is served by any external services that it depends on.

Se sono presenti arresti anomali del sistema, errori o problemi di prestazioni, è possibile cercare i dati di telemetria in dettaglio per diagnosticare la causa.If there are crashes, failures or performance issues, you can search through the telemetry data in detail to diagnose the cause. Il servizio invia anche messaggi di posta elettronica in caso di variazioni nella disponibilità e nelle prestazioni dell'app.And the service sends you emails if there are any changes in the availability and performance of your app. Application Insights diventa quindi uno strumento utile per la sicurezza perché contribuisce alla disponibilità nell'ambito della triade di sicurezza: riservatezza, integrità e disponibilità.Application Insight thus becomes a valuable security tool because it helps with the availability in the confidentiality, integrity, and availability security triad.

Monitoraggio di AzureAzure Monitor

Monitoraggio di Azure offre funzionalità di visualizzazione, query, routing, avviso, ridimensionamento automatico e automazione dei dati sia dall'infrastruttura di Azure (log attività) che da ogni singola risorsa di Azure (log di diagnostica).Azure Monitor offers visualization, query, routing, alerting, auto scale, and automation on data both from the Azure infrastructure (Activity Log) and each individual Azure resource (Diagnostic Logs). È possibile usare Monitoraggio di Azure per ricevere avvisi sugli eventi relativi alla sicurezza generati nei log di Azure.You can use Azure Monitor to alert you on security-related events that are generated in Azure logs.

Log AnalyticsLog Analytics

Log Analytics, parte di Operations Management Suite, offre una soluzione di gestione IT per l'infrastruttura sia locale che basata sul cloud di terze parti (ad esempio AWS), oltre che per le risorse di Azure.Log Analytics part of Operations Management Suite – Provides an IT management solution for both on-premises and third-party cloud-based infrastructure (such as AWS) in addition to Azure resources. I dati di Monitoraggio di Azure possono essere indirizzati direttamente a Log Analytics, in modo da visualizzare le metriche e i log dell'intero ambiente in un'unica posizione.Data from Azure Monitor can be routed directly to Log Analytics so you can see metrics and logs for your entire environment in one place.

Log Analytics può essere utile per analisi della sicurezza per scopi legali e di altro tipo perché questo strumento consente di eseguire rapidamente ricerche in grandi quantità di voci relative alla sicurezza con un approccio di query flessibile.Log Analytics can be a useful tool in forensic and other security analysis, as the tool enables you to quickly search through large amounts of security-related entries with a flexible query approach. Inoltre, i log di proxy e firewall locali possono essere esportati in Azure ed essere resi disponibili per l'analisi con Log Analytics.In addition, on-premises firewall and proxy logs can be exported into Azure and made available for analysis using Log Analytics.

Azure AdvisorAzure Advisor

Azure Advisor è un servizio di consulenza personalizzato per il cloud che consente di ottimizzare le distribuzioni di Azure.Azure Advisor is a personalized cloud consultant that helps you to optimize your Azure deployments. Analizza la configurazione e la telemetria delle risorseIt analyzes your resource configuration and usage telemetry. e propone quindi soluzioni utili per migliorare le prestazioni, la sicurezza e la disponibilità elevata delle risorse cercando al tempo stesso opportunità di ridurre la spesa complessiva di Azure.It then recommends solutions to help improve the performance, security, and high availability of your resources while looking for opportunities to reduce your overall Azure spend. Azure Advisor offre raccomandazioni sulla sicurezza che possono migliorare notevolmente lo stato di sicurezza complessivo delle soluzioni distribuite in Azure.Azure Advisor provides security recommendations, which can significant improve your overall security posture for solutions you deploy in Azure. Tali raccomandazioni vengono ricavate dall'analisi della sicurezza eseguita dal Centro sicurezza di Azure.These recommendations are drawn from security analysis performed by Azure Security Center.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza di Azure consente di prevenire, rilevare e rispondere alle minacce con un livello di visibilità e controllo più elevato della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza di Azure facilita anche le operazioni di sicurezza offrendo un unico dashboard che presenta avvisi e raccomandazioni su cui è possibile intervenire immediatamente.In addition, Azure Security Center helps with security operations by providing you a single dashboard that surfaces alerts and recommendations that can be acted upon immediately. È spesso possibile risolvere i problemi con un solo clic nella console del Centro sicurezza di Azure.Often, you can remediate issues with a single click within the Azure Security Center console.

APPLICAZIONIApplications

Questa sezione contiene informazioni aggiuntive sulle caratteristiche principali per la sicurezza delle applicazioni e informazioni di riepilogo su tali funzionalità.The section provides additional information regarding key features in application security and summary information about these capabilities.

Analisi delle vulnerabilità delle applicazioni WebWeb Application vulnerability scanning

Uno dei modi più semplici per iniziare a testare le vulnerabilità di un'app del servizio app consiste nell'usare l'integrazione con Tinfoil Security per eseguire sull'app un'analisi delle vulnerabilità con un solo clic.One of the easiest ways to get started with testing for vulnerabilities on your App Service app is to use the integration with Tinfoil Security to perform one-click vulnerability scanning on your app. È possibile visualizzare i risultati del test in un report di facile comprensione e imparare a risolvere ogni vulnerabilità con istruzioni dettagliate.You can view the test results in an easy-to-understand report, and learn how to fix each vulnerability with step-by-step instructions.

Test di penetrazionePenetration Testing

Se si preferisce eseguire i propri test di penetrazione o usare un altro gruppo o fornitore di strumenti di scansione, è necessario seguire il processo di approvazione dei test di penetrazione di Azure e ottenere l'approvazione preventiva per eseguire i test di penetrazione desiderati.If you prefer to perform your own penetration tests or want to use another scanner suite or provider, you must follow the Azure penetration testing approval process and obtain prior approval to perform the desired penetration tests.

Web application firewallWeb Application firewall

Il Web application firewall (WAF) del gateway applicazione di Azure consente di proteggere le applicazioni Web da attacchi basati sul Web comuni come SQL injection, cross-site scripting e hijack della sessione.The web application firewall (WAF) in Azure Application Gateway helps protect web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacking. Include la protezione preconfigurata dalle minacce identificate da Open Web Application Security Project (OWASP) come le 10 principali vulnerabilità comuni.It comes preconfigured with protection from threats identified by the Open Web Application Security Project (OWASP) as the top 10 common vulnerabilities.

Autenticazione e autorizzazione nel servizio app di AzureAuthentication and authorization in Azure App Service

La funzionalità di autenticazione/autorizzazione del servizio app consente all'applicazione di eseguire la procedura di accesso degli utenti in modo che non sia necessario modificare il codice nel back-end dell'app.App Service Authentication / Authorization is a feature that provides a way for your application to sign in users so that you don't have to change code on the app backend. Fornisce un modo semplice per proteggere l'applicazione e utilizzare dati per-utente.It provides an easy way to protect your application and work with per-user data.

Architettura di sicurezza su più livelliLayered Security Architecture

Dato che gli ambienti del servizio app forniscono un ambiente di runtime isolato distribuito in una rete virtuale di Azure, gli sviluppatori possono creare un'architettura di sicurezza su più livelli offrendo livelli diversi di accesso alla rete per ogni livello applicazione.Since App Service Environments provide an isolated runtime environment deployed into an Azure Virtual Network, developers can create a layered security architecture providing differing levels of network access for each application tier. Un'esigenza comune è quella di nascondere i back-end delle API all'accesso a Internet generale e consentire alle API di essere chiamate solo dalle app Web upstream.A common desire is to hide API back-ends from general Internet access, and only allow APIs to be called by upstream web apps. I gruppi di sicurezza di rete (NSG) possono essere usati nelle subnet delle reti virtuali di Azure contenenti ambienti del servizio app per limitare l'accesso pubblico alle applicazioni API.Network Security groups (NSGs) can be used on Azure Virtual Network subnets containing App Service Environments to restrict public access to API applications.

Diagnostica del server Web e diagnostica applicazioniWeb server diagnostics and application diagnostics

App Web del servizio app offre funzionalità diagnostiche per la registrazione di informazioni sia dal server Web sia dall'applicazione Web,App Service web apps provide diagnostic functionality for logging information from both the web server and the web application. logicamente separate in diagnostica server Web e diagnostica applicazioni.These are logically separated into web server diagnostics and application diagnostics. Il server Web include due importanti progressi per la diagnosi e la risoluzione dei problemi di siti e applicazioni.Web server includes two major advances in diagnosing and troubleshooting sites and applications.

La prima nuova funzionalità è rappresentata dalle informazioni sullo stato in tempo reale per pool di applicazioni, processi di lavoro, siti, domini applicazione e richieste in esecuzione.The first new feature is real-time state information about application pools, worker processes, sites, application domains, and running requests. Il secondo nuovo vantaggio risiede negli eventi di traccia dettagliati che tengono traccia di una richiesta nell'intero processo di richiesta e risposta.The second new advantages are the detailed trace events that track a request throughout the complete request-and-response process.

Per abilitare la raccolta di tali eventi di traccia, è possibile configurare IIS 7 per l'acquisizione automatica di log di traccia completi in formato XML per specifiche richieste, in base al tempo trascorso o ai codici di risposta di errore.To enable the collection of these trace events, IIS 7 can be configured to automatically capture full trace logs, in XML format, for any particular request based on elapsed time or error response codes.

Diagnostica del server WebWeb server diagnostics

È possibile abilitare o disabilitare i seguenti tipi di log:You can enable or disable the following kinds of logs:

  • Registrazione degli errori dettagliata: informazioni dettagliate sugli errori per i codici di stato HTTP che indicano un'operazione non riuscita (codice di stato 400 o superiore),Detailed Error Logging - Detailed error information for HTTP status codes that indicate a failure (status code 400 or greater). incluse eventualmente le informazioni che aiutano a determinare il motivo per cui il server ha restituito il codice di errore.This may contain information that can help determine why the server returned the error code.

  • Traccia delle richieste non riuscite: informazioni dettagliate sulle richieste non riuscite, con traccia dei componenti IIS usati per elaborare la richieste e il tempo impiegato in ogni componente.Failed Request Tracing - Detailed information on failed requests, including a trace of the IIS components used to process the request and the time taken in each component. Ciò può essere utile se si sta tentando di aumentare le prestazioni del sito oppure isolare la causa della restituzione di uno specifico errore HTTP.This can be useful if you are attempting to increase site performance or isolate what is causing a specific HTTP error to be returned.

  • Registrazione del server Web: informazioni sulle transazioni HTTP che usano il formato di file di log esteso W3C.Web Server Logging - Information about HTTP transactions using the W3C extended log file format. Questo è utile nel determinare le metriche generali del sito, ad esempio il numero delle richieste gestite oppure quante di esse provengono da uno specifico indirizzo IPThis is useful when determining overall site metrics such as the number of requests handled or how many requests are from a specific IP address.

Diagnostica applicazioniApplication diagnostics

Diagnostica applicazioni consente di acquisire le informazioni generate da un'applicazione Web.Application diagnostics allows you to capture information produced by a web application. Le applicazioni ASP.NET possono utilizzare la classe System.Diagnostics.Trace per registrare le informazioni nel log di diagnostica applicazioni.ASP.NET applications can use the System.Diagnostics.Trace class to log information to the application diagnostics log. In Diagnostica applicazioni esistono due tipi principali di eventi: quelli relativi alle prestazioni delle applicazioni e quelli relativi a operazioni non riuscite ed errori.In Application Diagnostics, there are two major types of events, those related to application performance and those related to application failures and errors. Le operazioni non riuscite e gli errori possono essere ulteriormente suddivisi in problemi di connettività, di sicurezza e di errore.The failures and errors can be divided further into connectivity, security, and failure issues. Questi ultimi sono in genere correlati a un problema con il codice dell'applicazione.Failure issues are typically related to a problem with the application code.

In Diagnostica applicazioni è possibile visualizzare gli eventi raggruppandoli nei modi seguenti:In Application Diagnostics, you can view events grouped in these ways:

  • Tutti (vengono visualizzati tutti gli eventi)All (displays all events)
  • Errori dell'applicazione (vengono visualizzati gli eventi di eccezione)Application Errors (displays exception events)
  • Prestazioni (vengono visualizzati gli eventi prestazioni)Performance (displays performance events)

ArchiviazioneStorage

Questa sezione contiene informazioni aggiuntive sulle caratteristiche principali per la sicurezza delle risorse di archiviazione di Azure e informazioni di riepilogo su tali funzionalità.The section provides additional information regarding key features in Azure storage security and summary information about these capabilities.

Controllo degli accessi in base al ruoloRole-Based Access Control (RBAC)

È possibile proteggere l'account di archiviazione con il controllo degli accessi in base al ruolo.You can secure your storage account with Role-Based Access Control (RBAC). Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di necessità e privilegi minimi.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce Security policies for data access. Questi diritti di accesso vengono concessi assegnando il ruolo di controllo degli accessi appropriato a gruppi e applicazioni in un ambito specifico.These access rights are granted by assigning the appropriate RBAC role to groups and applications at a certain scope. È possibile usare i ruoli predefiniti del controllo degli accessi in base al ruolo, ad esempio Collaboratore Account di archiviazione, per assegnare privilegi agli utenti.You can use built-in RBAC roles, such as Storage Account Contributor, to assign privileges to users. L'accesso alle chiavi di archiviazione per un account di archiviazione con il modello Azure Resource Manager può essere controllato tramite il controllo degli accessi in base al ruolo.Access to the storage keys for a storage account using the Azure Resource Manager model can be controlled through Role-Based Access Control (RBAC).

Firma di accesso condivisoShared Access Signature

Una firma di accesso condiviso (SAS) fornisce accesso delegato alle risorse nell'account di archiviazione.A shared access signature (SAS) provides delegated access to resources in your storage account. La firma di accesso condiviso consente di concedere a un client autorizzazioni limitate per gli oggetti nell'account di archiviazione per un periodo di tempo e con un set di autorizzazioni specificati.The SAS means that you can grant a client limited permissions to objects in your storage account for a specified period and with a specified set of permissions. È possibile concedere queste autorizzazioni limitate senza la necessità di condividere le chiavi di accesso all'account.You can grant these limited permissions without having to share your account access keys.

Crittografia in transitoEncryption in Transit

La crittografia in transito è un meccanismo di protezione dei dati durante la trasmissione tra le reti.Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Con Archiviazione di Azure è possibile proteggere i dati con:With Azure Storage, you can secure data using:

Crittografia di dati inattiviEncryption at rest

Per molte organizzazioni, la crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy dei dati, la conformità e la sovranità dei dati.For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Esistono tre funzionalità di sicurezza delle risorse di archiviazione di Azure che consentono di crittografare dati inattivi:There are three Azure storage security features that provide encryption of data that is “at rest”:

di Analisi archiviazioneStorage Analytics

L'Analisi archiviazione di Azure esegue la registrazione e restituisce i dati delle metriche per un account di archiviazione.Azure Storage Analytics performs logging and provides metrics data for a storage account. È possibile utilizzare questi dati per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.You can use this data to trace requests, analyze usage trends, and diagnose issues with your storage account. Analisi archiviazione registra informazioni dettagliate sulle richieste riuscite e non a un servizio di archiviazione.Storage Analytics logs detailed information about successful and failed requests to a storage service. Queste informazioni possono essere utilizzate per monitorare le singole richieste e per diagnosticare problemi relativi a un servizio di archiviazione.This information can be used to monitor individual requests and to diagnose issues with a storage service. Le richieste vengono registrate in base al massimo sforzo.Requests are logged on a best-effort basis. Vengono registrati i seguenti tipi di richieste autenticate:The following types of authenticated requests are logged:

  • Richieste riusciteSuccessful requests.

  • Richieste non riuscite, tra cui timeout, limitazione, rete, autorizzazione e altri erroriFailed requests, including timeout, throttling, network, authorization, and other errors.

  • Richieste tramite una firma di accesso condiviso, incluse le richieste riuscite e non riusciteRequests using a Shared Access Signature (SAS), including failed and successful requests.

  • Richieste ai dati di analisiRequests to analytics data.

Abilitazione dei client basati su browser con CORSEnabling Browser-Based Clients Using CORS

Condivisione risorse tra le origini (CORS) è un meccanismo che consente ai domini di concedersi reciprocamente l'autorizzazione ad accedere alle rispettive risorse.Cross-Origin Resource Sharing (CORS) is a mechanism that allows domains to give each other permission for accessing each other’s resources. L'agente utente invia intestazioni aggiuntive affinché al codice JavaScript caricato da un determinato dominio venga consentito l'accesso alle risorse che si trovano in un altro dominio.The User Agent sends extra headers to ensure that the JavaScript code loaded from a certain domain is allowed to access resources located at another domain. Questo secondo dominio risponde quindi con intestazioni aggiuntive che consentono o negano al dominio originale l'accesso alle risorse.The latter domain then replies with extra headers allowing or denying the original domain access to its resources.

Dato che i servizi di archiviazione di Azure supportano ora CORS, una volta impostate le regole CORS per il servizio, una richiesta correttamente autenticata inviata al servizio da un diverso dominio verrà valutata per determinare se è consentita in base alle regole che sono state specificate.Azure storage services now support CORS so that once you set the CORS rules for the service, a properly authenticated request made against the service from a different domain is evaluated to determine whether it is allowed according to the rules you have specified.

ReteNetworking

Questa sezione contiene informazioni aggiuntive sulle caratteristiche principali per la sicurezza di rete di Azure e informazioni di riepilogo su tali funzionalità.The section provides additional information regarding key features in Azure network security and summary information about these capabilities.

Controlli a livello reteNetwork Layer Controls

Il controllo di accesso alla rete comporta la limitazione della connettività da e verso subnet o dispositivi specifici e rappresenta la base della sicurezza di rete.Network access control is the act of limiting connectivity to and from specific devices or subnets and represents the core of network security. L'obiettivo del controllo di accesso alla rete consiste nel garantire che le macchine virtuali e i servizi siano accessibili solo agli utenti e ai dispositivi a cui si vuole concedere l'accesso.The goal of network access control is to make sure that your virtual machines and services are accessible to only users and devices to which you want them accessible.

Gruppi di sicurezza di reteNetwork Security Groups

Un gruppo di sicurezza di rete (NSG) è un firewall di filtro dei pacchetti con stato di base e consente di controllare l'accesso in base a 5 tuple.A Network Security Group (NSG) is a basic stateful packet filtering firewall and it enables you to control access based on a 5-tuple. Gli NSG non forniscono ispezione a livello dell'applicazione o controlli di accesso autenticato.NSGs do not provide application layer inspection or authenticated access controls. Possono essere usati per controllare il traffico tra subnet all'interno di una rete virtuale di Azure e il traffico tra una rete virtuale di Azure e Internet.They can be used to control traffic moving between subnets within an Azure Virtual Network and traffic between an Azure Virtual Network and the Internet.

Controllo di route e tunneling forzatoRoute Control and Forced Tunneling

La possibilità di controllare il comportamento di routing nella rete virtuale di Azure è una funzionalità critica per il controllo di accesso e la sicurezza di rete.The ability to control routing behavior on your Azure Virtual Networks is a critical network security and access control capability. Se si vuole essere certi che tutto il traffico da e verso la rete virtuale di Azure passi attraverso una determinata appliance di sicurezza virtuale, ad esempio, è necessario poter controllare e personalizzare il comportamento di routing.For example, if you want to make sure that all traffic to and from your Azure Virtual Network goes through that virtual security appliance, you need to be able to control and customize routing behavior. A tale scopo è possibile configurare route definite dall'utente in Azure.You can do this by configuring User-Defined Routes in Azure.

Le route definite dall'utente consentono di personalizzare i percorsi in ingresso e in uscita del traffico da e verso singole macchine virtuali o subnet per garantire la route più sicura possibile.User-Defined Routes allow you to customize inbound and outbound paths for traffic moving into and out of individual virtual machines or subnets to insure the most secure route possible. tunneling forzato è un meccanismo che può essere usato per assicurarsi che ai servizi sia impedito di stabilire una connessione a dispositivi in Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the Internet.

Questo approccio è diverso dalla possibilità di accettare connessioni in ingresso e quindi rispondere.This is different from being able to accept incoming connections and then responding to them. I server Web front-end devono rispondere alle richieste dagli host in Internet e di conseguenza il traffico originato da Internet è consentito in ingresso verso questi server Web, che sono autorizzati a rispondere.Front-end web servers need to respond to requests from Internet hosts, and so Internet-sourced traffic is allowed inbound to these web servers and the web servers can respond.

Il tunneling forzato viene in genere usato per imporre al traffico in uscita verso Internet di passare attraverso firewall e proxy di sicurezza locali.Forced tunneling is commonly used to force outbound traffic to the Internet to go through on-premises security proxies and firewalls.

Appliance di sicurezza di rete virtualeVirtual Network Security Appliances

Nonostante i gruppi di sicurezza di rete, le route definite dall'utente e il tunneling forzato offrano un certo grado di sicurezza ai livelli di rete e trasporto del modello OSI, a volte può essere consigliabile abilitare la sicurezza a livelli superiori dello stack.While Network Security Groups, User-Defined Routes, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, there may be times when you want to enable security at higher levels of the stack. È possibile accedere a queste funzionalità di sicurezza di rete avanzate usando una soluzione di appliance di sicurezza di rete dei partner di Azure.You can access these enhanced network security features by using an Azure partner network security appliance solution. Le soluzioni di sicurezza di rete più recenti offerte dai partner di Azure sono disponibili in Azure Marketplace, cercando "sicurezza" e "sicurezza di rete".You can find the most current Azure partner network security solutions by visiting the Azure Marketplace and searching for “security” and “network security.”

Rete virtuale di AzureAzure Virtual Network

Una rete virtuale di Azure (VNet) è una rappresentazione della propria rete personalizzata nel cloud.An Azure virtual network (VNet) is a representation of your own network in the cloud. È un isolamento logico dell'infrastruttura di rete di Azure dedicato alla sottoscrizione.It is a logical isolation of the Azure network fabric dedicated to your subscription. È possibile controllare completamente i blocchi di indirizzi IP, le impostazioni DNS, i criteri di sicurezza e le tabelle di route in questa rete.You can fully control the IP address blocks, DNS settings, security policies, and route tables within this network. La rete virtuale può essere segmentata in subnet e si possono inserire macchine virtuali (VM) IaaS di Azure e/o servizi cloud (istanze del ruolo PaaS) nelle reti virtuali di Azure.You can segment your VNet into subnets and place Azure IaaS virtual machines (VMs) and/or Cloud services (PaaS role instances) on Azure Virtual Networks.

È anche possibile connettere la rete virtuale alla rete locale usando una delle opzioni di connettività disponibili in Azure.Additionally, you can connect the virtual network to your on-premises network using one of the connectivity options available in Azure. In pratica è possibile espandere la rete ad Azure, con il controllo completo sui blocchi di indirizzi IP con tutti i vantaggi di livello aziendale offerti da Azure.In essence, you can expand your network to Azure, with complete control on IP address blocks with the benefit of enterprise scale Azure provides.

La rete di Azure supporta vari scenari di accesso remoto sicuro,Azure networking supports various secure remote access scenarios. tra cui:Some of these include:

Gateway VPNVPN Gateway

Per inviare il traffico di rete tra la rete virtuale di Azure e il sito locale, è necessario creare un gateway VPN per la rete virtuale di Azure.To send network traffic between your Azure Virtual Network and your on-premises site, you must create a VPN gateway for your Azure Virtual Network. Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tramite una connessione pubblica.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. È anche possibile usare i gateway VPN per inviare il traffico tra le reti virtuali di Azure tramite l'infrastruttura di rete di Azure.You can also use VPN gateways to send traffic between Azure Virtual Networks over the Azure network fabric.

Express RouteExpress Route

Microsoft Azure ExpressRoute è un collegamento WAN dedicato che consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata dedicata supportata da un provider di connettività.Microsoft Azure ExpressRoute is a dedicated WAN link that lets you extend your on-premises networks into the Microsoft cloud over a dedicated private connection facilitated by a connectivity provider.

Express Route

Con ExpressRoute è possibile stabilire connessioni ai servizi cloud Microsoft, come Microsoft Azure, Office 365 e CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. La connettività può essere stabilita da una rete (IP VPN) any-to-any, da una rete Ethernet punto a punto o da una Cross Connection virtuale tramite un provider di connettività presso una struttura di condivisione del percorso.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

Le connessioni ExpressRoute non usano la rete Internet pubblica e possono quindi essere considerate più sicure delle soluzioni basate su VPN.ExpressRoute connections do not go over the public Internet and thus can be considered more secure than VPN-based solutions. In questo modo possono offrire un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e minori latenze rispetto alle connessioni Internet tradizionali.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

gateway applicazioneApplication Gateway

Il gateway applicazione di Microsoft Azure offre un servizio di controller per la distribuzione di applicazioni con numerose funzionalità di bilanciamento del carico di livello 7 per l'applicazione.Microsoft Azure Application Gateway provides an Application Delivery Controller (ADC) as a service, offering various layer 7 load balancing capabilities for your application.

gateway applicazione

Consente di ottimizzare la produttività delle Web farm eseguendo l'offload al gateway applicazione della terminazione SSL con utilizzo elevato di CPU, denominato anche "offload SSL" o "bridging SSL".It allows you to optimize web farm productivity by offloading CPU intensive SSL termination to the Application Gateway (also known as “SSL offload” or “SSL bridging”). Offre anche altre funzionalità di routing di livello 7, tra cui la distribuzione round robin del traffico in ingresso, l'affinità di sessione basata su cookie, il routing basato su percorso URL e la possibilità di ospitare più siti Web dietro un unico gateway applicazione.It also provides other Layer 7 routing capabilities including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single Application Gateway. Il gateway applicazione di Azure è un dispositivo di bilanciamento del carico di livello 7.Azure Application Gateway is a layer-7 load balancer.

Fornisce richieste HTTP con routing delle prestazioni e failover tra server diversi, sia nel cloud che in locale.It provides failover, performance-routing HTTP requests between different servers, whether they are on the cloud or on-premises.

L'applicazione offre numerose funzionalità di controller per la distribuzione di applicazioni, tra cui bilanciamento del carico HTTP, affinità di sessione basata su cookie, offload SSL (Secure Sockets Layer), probe di integrità personalizzati, supporto per più siti e molte altre.Application provides many Application Delivery Controller (ADC) features including HTTP load balancing, cookie-based session affinity, Secure Sockets Layer (SSL) offload, custom health probes, support for multi-site, and many others.

Web application firewallWeb Application Firewall

Web application firewall è una funzionalità del gateway applicazione di Azure che consente di proteggere le applicazioni Web che usano il gateway applicazione per funzioni standard di controller per la distribuzione di applicazioni.Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control (ADC) functions. Web application firewall protegge infatti le applicazioni dalla maggior parte delle 10 vulnerabilità Web OWASP più diffuse.Web application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities.

Web application firewall

  • Protezione dagli attacchi SQL injectionSQL injection protection

  • Protezione dai comuni attacchi Web, ad esempio attacchi di iniezione di comandi, richieste HTTP non valide, attacchi HTTP Response Splitting e Remote File InclusionCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Protezione dalle violazioni del protocollo HTTPProtection against HTTP protocol violations

  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept headerProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevenzione contro robot, crawler e scannerPrevention against bots, crawlers, and scanners

  • Rilevamento di errori di configurazione dell'applicazione comuni (ad esempio, Apache, IIS e così via)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

L'uso di un Web application firewall centralizzato per la protezione dagli attacchi Web semplifica notevolmente la gestione della sicurezza e offre all'applicazione migliori garanzie contro le minacce di intrusione.A centralized web application firewall to protect against web attacks makes security management much simpler and gives better assurance to the application against the threats of intrusions. Una soluzione WAF è anche in grado di reagire più velocemente a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. È possibile convertire facilmente i gateway applicazione esistenti in gateway applicazione con Web application firewall.Existing application gateways can be converted to an application gateway with web application firewall easily.

servizio Gestione trafficoTraffic Manager

Gestione traffico di Microsoft Azure consente di controllare la distribuzione del traffico utente per gli endpoint di servizio in diversi data center.Microsoft Azure Traffic Manager allows you to control the distribution of user traffic for service endpoints in different data centers. Gli endpoint di servizio supportati da Gestione traffico includono servizi cloud, app Web e VM di Azure.Service endpoints supported by Traffic Manager include Azure VMs, Web Apps, and Cloud services. È anche possibile usare Gestione traffico con endpoint esterni, non di Azure.You can also use Traffic Manager with external, non-Azure endpoints. Gestione traffico usa il sistema DNS (Domain Name System) per indirizzare le richieste del client all'endpoint più appropriato in base a un metodo di routing del traffico e all'integrità degli endpoint.Traffic Manager uses the Domain Name System (DNS) to direct client requests to the most appropriate endpoint based on a traffic-routing method and the health of the endpoints.

Gestione traffico offre diversi metodi di routing del traffico per soddisfare le diverse esigenze delle applicazioni. Offre inoltre monitoraggio dell'integrità degli endpoint e failover automatico.Traffic Manager provides a range of traffic-routing methods to suit different application needs, endpoint health monitoring, and automatic failover. Gestione traffico è resiliente agli errori, incluso l'errore di un'intera area di Azure.Traffic Manager is resilient to failure, including the failure of an entire Azure region.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer offre elevati livelli di disponibilità e prestazioni di rete per le applicazioni.Azure Load Balancer delivers high availability and network performance to your applications. Si tratta di un servizio di bilanciamento del carico di livello 4 (TCP, UDP) che distribuisce il traffico in ingresso tra istanze integre di servizi definiti in un set con carico bilanciato.It is a Layer 4 (TCP, UDP) load balancer that distributes incoming traffic among healthy instances of services defined in a load-balanced set. Azure Load Balancer può essere configurato per:Azure Load Balancer can be configured to:

  • Bilanciare il carico del traffico Internet in ingresso nelle macchine virtuali.Load balance incoming Internet traffic to virtual machines. Questa configurazione è nota come bilanciamento del carico Internet tra più macchine virtuali o servizi.This configuration is known as Internet-facing load balancing.

  • Bilanciare il carico del traffico tra macchine virtuali in una rete virtuale, tra macchine virtuali nei servizi cloud o tra computer locali e macchine virtuali in una rete virtuale cross-premise.Load balance traffic between virtual machines in a virtual network, between virtual machines in cloud services, or between on-premises computers and virtual machines in a cross-premises virtual network. Questa configurazione è nota come bilanciamento del carico interno.This configuration is known as internal load balancing.

  • Inoltrare il traffico esterno a una macchina virtuale specificaForward external traffic to a specific virtual machine

DNS internoInternal DNS

È possibile gestire l'elenco dei server DNS usati in una rete virtuale nel portale di gestione o nel file di configurazione di rete.You can manage the list of DNS servers used in a VNet in the Management Portal, or in the network configuration file. Il cliente può aggiungere fino a 12 server DNS per ogni rete virtuale.Customer can add up to 12 DNS servers for each VNet. Quando si specificano i server DNS, è importante verificare che i server DNS del cliente siano elencati nell'ordine corretto per l'ambiente specifico.When specifying DNS servers, it's important to verify that you list customer’s DNS servers in the correct order for customer’s environment. Gli elenchi dei server DNS non supportano il round robin.DNS server lists do not work round-robin. Vengono usati nell'ordine in cui sono specificati.They are used in the order that they are specified. Se il primo server DNS nell'elenco è raggiungibile, il client usa tale server DNS indipendentemente dal fatto che funzioni correttamente o meno.If the first DNS server on the list is able to be reached, the client uses that DNS server regardless of whether the DNS server is functioning properly or not. Per modificare l'ordine dei server DNS per la rete virtuale del cliente, rimuovere i server DNS dall'elenco e aggiungerli nuovamente nell'ordine desiderato.To change the DNS server order for customer’s virtual network, remove the DNS servers from the list and add them back in the order that customer wants. Il sistema DNS supporta l'aspetto della disponibilità della triade di sicurezza "riservatezza, integrità e disponibilità".DNS supports the availability aspect of the “CIA” security triad.

DNS di AzureAzure DNS

Il sistema DNS (Domain Name System) è responsabile della conversione (o risoluzione) del nome di un servizio o sito Web nel relativo indirizzo IP.The Domain Name System, or DNS, is responsible for translating (or resolving) a website or service name to its IP address. DNS di Azure è un servizio di hosting per domini DNS che fornisce la risoluzione dei nomi usando l'infrastruttura di Microsoft Azure.Azure DNS is a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Ospitando i domini in Azure, è possibile gestire i record DNS usando le stesse credenziali, API, strumenti e fatturazione come per gli altri servizi Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services. Il sistema DNS supporta l'aspetto della disponibilità della triade di sicurezza "riservatezza, integrità e disponibilità".DNS supports the availability aspect of the “CIA” security triad.

Gruppi di sicurezza di rete in Log AnalyticsLog Analytics NSGs

È possibile abilitare le seguenti categorie di log di diagnostica per i gruppi di sicurezza di rete:You can enable the following diagnostic log categories for NSGs:

  • Evento: contiene voci relative alle regole dei gruppi di sicurezza di rete applicate alle VM e ai ruoli delle istanze in base all'indirizzo MAC.Event: Contains entries for which NSG rules are applied to VMs and instance roles based on MAC address. Lo stato di queste regole viene raccolto ogni 60 secondi.The status for these rules is collected every 60 seconds.

  • Contatore di regole: contiene voci che indicano quante volte ogni regola dei gruppi di sicurezza di rete viene applicata per rifiutare o consentire il traffico.Rules counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza consente di prevenire, rilevare e rispondere alle minacce e offre un livello di visibilità e controllo più elevato della sicurezza delle risorse di Azure.Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the Security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri nelle sottoscrizioni di Azure, consente di rilevare minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated Security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of Security solutions. Le raccomandazioni sulla rete sono incentrate su firewall, gruppi di sicurezza di rete, configurazione delle regole per il traffico in ingresso e altro ancora.Network recommendations center around firewalls, Network Security Groups, configuring inbound traffic rules, and more.

Sono disponibili le raccomandazioni sulla rete seguenti.Available network recommendations are as follows:

CalcoloCompute

Questa sezione contiene informazioni aggiuntive sulle caratteristiche principali in quest'area e informazioni di riepilogo su tali funzionalità.The section provides additional information regarding key features in this area and summary information about these capabilities.

Antimalware e antivirusAntimalware & Antivirus

Con Azure IaaS è possibile usare software antimalware di fornitori di soluzioni di sicurezza come Microsoft, Symantec, Trend Micro, McAfee e Kaspersky per proteggere le macchine virtuali da file dannosi, adware e altre minacce.With Azure IaaS, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, McAfee, and Kaspersky to protect your virtual machines from malicious files, adware, and other threats. Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione che consente di identificare e rimuovere virus, spyware e altro software dannoso.Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a protection capability that helps identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware offre avvisi configurabili quando software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.Microsoft Antimalware provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems. Microsoft Antimalware può anche essere distribuito usando il Centro sicurezza di Azure.Microsoft Antimalware can also be deployed using Azure Security Center

Modulo di protezione hardwareHardware Security Module

La crittografia e l'autenticazione non migliorano la sicurezza a meno che le chiavi stesse non siano protette.Encryption and authentication do not improve security unless the keys themselves are protected. È possibile semplificare la gestione e la sicurezza di chiavi e segreti critici archiviandoli in Azure Key Vault.You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault. Key Vault consente di archiviare le chiavi in moduli di protezione hardware certificati per gli standard FIPS 140-2 livello 2.Key Vault provides the option to store your keys in hardware Security modules (HSMs) certified to FIPS 140-2 Level 2 standards. Le chiavi di crittografia di SQL Server per backup o Transparent Data Encryption possono essere tutte archiviate nell'insieme di credenziali delle chiavi con qualsiasi chiave o segreto delle applicazioni.Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. Le autorizzazioni e l'accesso per questi elementi protetti vengono gestiti tramite Azure Active Directory.Permissions and access to these protected items are managed through Azure Active Directory.

Backup di una macchina virtualeVirtual machine backup

Backup di Azure è una soluzione che protegge i dati delle applicazioni senza investimenti di capitale e con costi operativi minimi.Azure Backup is a solution that protects your application data with zero capital investment and minimal operating costs. Gli errori delle applicazioni possono danneggiare i dati e gli errori umani possono introdurre nelle applicazioni bug che potrebbero causare problemi di sicurezza.Application errors can corrupt your data, and human errors can introduce bugs into your applications that can lead to security issues. Con Backup di Azure, le macchine virtuali che eseguono Windows e Linux sono protette.With Azure Backup, your virtual machines running Windows and Linux are protected.

Azure Site RecoveryAzure Site Recovery

Una parte importante della strategia di continuità aziendale e ripristino di emergenza (BCDR) dell'organizzazione consiste nel capire come mantenere operativi i carichi di lavoro e le app aziendali quando si verificano interruzioni pianificate e non pianificate.An important part of your organization's business continuity/disaster recovery (BCDR) strategy is figuring out how to keep corporate workloads and apps up and running when planned and unplanned outages occur. Azure Site Recovery consente di orchestrare la replica, il failover e il ripristino di carichi di lavoro e app in modo che siano disponibili da una località secondaria in caso di inattività di quella primaria.Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they are available from a secondary location if your primary location goes down.

TDE in VM SQLSQL VM TDE

Transparent Data Encryption (TDE) e la crittografia a livello di colonna sono funzionalità di crittografia di SQL ServerTransparent data encryption (TDE) and column level encryption (CLE) are SQL server encryption features. che richiedono ai clienti di gestire e archiviare le chiavi crittografiche usate per la crittografia.This form of encryption requires customers to manage and store the cryptographic keys you use for encryption.

Il servizio dell'insieme di credenziali delle chiavi di Azure (AKV) è progettato per migliorare la sicurezza e la gestione di queste chiavi in una posizione sicura e a elevata disponibilità.The Azure Key Vault (AKV) service is designed to improve the security and management of these keys in a secure and highly available location. Il connettore SQL Server consente a SQL Server di usare queste chiavi da Azure Key Vault.The SQL Server Connector enables SQL Server to use these keys from Azure Key Vault.

Se si esegue SQL Server con computer locali, è possibile seguire una procedura per accedere ad Azure Key Vault dal computer SQL Server locale.If you are running SQL Server with on-premises machines, there are steps you can follow to access Azure Key Vault from your on-premises SQL Server machine. Se si esegue SQL Server in VM di Azure, invece, è possibile risparmiare tempo usando la funzionalità Integrazione di Azure Key Vault.But for SQL Server in Azure VMs, you can save time by using the Azure Key Vault Integration feature. Con alcuni cmdlet di Azure PowerShell che abilitano questa funzionalità, è possibile automatizzare la configurazione necessaria per l'accesso all'insieme di credenziali delle chiavi di una macchina virtuale di SQL.With a few Azure PowerShell cmdlets to enable this feature, you can automate the configuration necessary for a SQL VM to access your key vault.

Crittografia dei dischi delle VMVM Disk Encryption

Crittografia dischi di Azure è una nuova funzionalità che consente di crittografare i dischi delle macchine virtuali IaaS Windows e Linux.Azure Disk Encryption is a new capability that helps you encrypt your Windows and Linux IaaS virtual machine disks. Applica la funzionalità standard di settore BitLocker di Windows e la funzionalità DM-Crypt di Linux per offrire la crittografia del volume per i dischi dati e del sistema operativo.It applies the industry standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. La soluzione è integrata con Azure Key Vault per consentire il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi nella sottoscrizione di Key Vault.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your Key Vault subscription. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in your Azure storage.

Reti virtualiVirtual networking

La connettività di rete è indispensabile per le macchine virtuali.Virtual machines need network connectivity. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure.To support that requirement, Azure requires virtual machines to be connected to an Azure Virtual Network. Una rete virtuale di Azure è un costrutto logico basato sull'infrastruttura di rete fisica di Azure.An Azure Virtual Network is a logical construct built on top of the physical Azure network fabric. Ogni rete virtuale di Azure logica è isolata da tutte le altre reti virtuali di Azure.Each logical Azure Virtual Network is isolated from all other Azure Virtual Networks. L'isolamento garantisce che il traffico di rete nelle distribuzioni di un utente non sia accessibile da altri clienti di Microsoft Azure.This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

Patch di aggiornamentoPatch Updates

Le patch di aggiornamento offrono la base per trovare e correggere potenziali problemi e semplificare il processo di gestione degli aggiornamenti software, sia riducendo il numero di aggiornamenti software che è necessario distribuire nell'organizzazione, sia migliorando la capacità di monitorare la conformità.Patch Updates provide the basis for finding and fixing potential problems and simplify the software update management process, both by reducing the number of software updates you must deploy in your enterprise and by increasing your ability to monitor compliance.

Gestione e reporting dei criteri di sicurezzaSecurity policy management and reporting

Il Centro sicurezza di Azure consente di prevenire, rilevare e rispondere alle minacce e offre un livello di visibilità e controllo più elevato della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri nelle sottoscrizioni di Azure, consente di rilevare minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated Security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza impedisce, rileva e risponde alle minacce mediante visibilità e controllo avanzati della sicurezza delle risorse di Azure.Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Gestione delle identità e dell'accessoIdentify and access management

I controlli di accesso basati sull'identità sono il punto di partenza della protezione di sistemi, applicazioni e dati.Securing systems, applications, and data begins with identity-based access controls. Le funzionalità di gestione delle identità e dell'accesso incorporate nei prodotti e nei servizi aziendali Microsoft consentono di proteggere le informazioni personali e dell'organizzazione dall'accesso non autorizzato rendendole al tempo stesso disponibili per gli utenti legittimi ovunque e in qualsiasi momento ne abbiano bisogno.The identity and access management features that are built into Microsoft business products and services help protect your organizational and personal information from unauthorized access while making it available to legitimate users whenever and wherever they need it.

Proteggere l'identitàSecure Identity

Per gestire le identità e l'accesso, Microsoft usa più procedure e tecnologie di sicurezza nei propri prodotti e servizi.Microsoft uses multiple security practices and technologies across its products and services to manage identity and access.

  • Multi-Factor Authentication richiede agli utenti di usare più metodi di accesso, in locale e nel cloud.Multi-Factor Authentication requires users to use multiple methods for access, on-premises and in the cloud. Offre autenticazione avanzata con diverse facili opzioni di verifica, garantendo al tempo stesso agli utenti un processo di accesso semplice.It provides strong authentication with a range of easy verification options, while accommodating users with a simple sign-in process.

  • Microsoft Authenticator semplifica l'uso di Multi-Factor Authentication, è applicabile ad account sia Microsoft che Microsoft Azure Active Directory e include il supporto per dispositivi indossabili e approvazioni basate sull'impronta digitale.Microsoft Authenticator provides a user-friendly Multi-Factor Authentication experience that works with both Microsoft Azure Active Directory and Microsoft accounts, and includes support for wearables and fingerprint-based approvals.

  • L'applicazione di criteri password aumenta la sicurezza delle password tradizionali imponendo requisiti di lunghezza e complessità, la rotazione periodica forzata e il blocco account dopo tentativi di autenticazione non riusciti.Password policy enforcement increases the security of traditional passwords by imposing length and complexity requirements, forced periodic rotation, and account lockout after failed authentication attempts.

  • L'autenticazione basata su token consente l'autenticazione tramite Active Directory Federation Services (AD FS) o sistemi di token di sicurezza di terze parti.Token-based authentication enables authentication via Active Directory Federation Services (AD FS) or third-party secure token systems.

  • Il controllo degli accessi in base al ruolo consente di concedere l'accesso in base al ruolo assegnato all'utente, garantendo facilmente agli utenti solo il livello di accesso necessario per svolgere le proprie mansioni.Role-based access control (RBAC) enables you to grant access based on the user’s assigned role, making it easy to give users only the amount of access they need to perform their job duties. È possibile personalizzare il controllo degli accessi in base al ruolo per il modello aziendale e la tolleranza al rischio dell'organizzazione.You can customize RBAC per your organization’s business model and risk tolerance.

  • La soluzione ibrida (integrata) di gestione delle identità consente di mantenere il controllo sull'accesso degli utenti nei data center interni e nelle piattaforme cloud creando una singola identità utente per l'autenticazione e l'autorizzazione in tutte le risorse.Integrated identity management (hybrid identity) enables you to maintain control of users’ access across internal datacenters and cloud platforms, creating a single user identity for authentication and authorization to all resources.

Proteggere app e datiSecure Apps and data

Azure Active Directory è una soluzione cloud completa per la gestione delle identità e dell'accesso che consente di proteggere l'accesso ai dati nelle applicazioni in locale e nel cloud e semplifica la gestione di gruppi e utenti.Azure Active Directory, a comprehensive identity and access management cloud solution, helps secure access to data in applications on site and in the cloud, and simplifies the management of users and groups. Combina servizi directory di base, governance avanzata delle identità, sicurezza e gestione dell'accesso alle applicazioni e consente agli sviluppatori di incorporare facilmente la gestione delle identità basata su criteri nelle proprie app.It combines core directory services, advanced identity governance, security, and application access management, and makes it easy for developers to build policy-based identity management into their apps. Per migliorare Azure Active Directory, è possibile aggiungere funzionalità a pagamento mediante Azure Active Directory Basic Edition, Premium P1 Edition e Premium P2 Edition.To enhance your Azure Active Directory, you can add paid capabilities using the Azure Active Directory Basic, Premium P1, and Premium P2 editions.

Funzionalità comuni/gratuiteFree / Common Features Funzionalità BasicBasic Features Funzionalità Premium P1Premium P1 Features Funzionalità Premium P2Premium P2 Features Aggiunta ad Azure Active Directory - Solo funzionalità correlate a Windows 10Azure Active Directory Join – Windows 10 only related features
Oggetti directory, utente/gruppo di gestione (aggiunta/aggiornamento/eliminazione) / basato su utente provisioning, registrazione dispositivo, Single Sign-On (SSO), Self-Service Modifica della password per gli utenti del cloud, Connect (motore di sincronizzazione che si estende su directory locali ad Azure Active Directory), sicurezza / report di utilizzoDirectory Objects, User/Group Management (add/update/delete)/ User-based provisioning, Device registration, Single Sign-On (SSO), Self-Service Password Change for cloud users, Connect (Sync engine that extends on-premises directories to Azure Active Directory), Security / Usage Reports Gestione degli accessi in base al gruppo / provisioning, di reimpostazione Password Self-Service per gli utenti del cloud, (personalizzazione di pagine di accesso/pannello) di Branding aziendale, Proxy dell'applicazione, contratto di servizio con disponibilità del 99,9%Group-based access management / provisioning, Self-Service Password Reset for cloud users, Company Branding (Logon Pages/Access Panel customization), Application Proxy, SLA 99.9% Gruppi Self-Service e app Management/Self-Service applicazione aggiunte/dinamico gruppi, Self-Service Password Reset/modifica/sblocco con locale writeback, a più fattori Autenticazione ((Server di autenticazione a più fattori) locale e Cloud), CAL MIM + Server MIM, Cloud App Discovery, Connect Health, Rollover automatico della password per gli account di gruppoSelf-Service Group and app Management/Self-Service application additions/Dynamic Groups, Self-Service Password Reset/Change/Unlock with on-premises write-back, Multi-Factor Authentication (Cloud and On-premises (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatic password rollover for group accounts La protezione dell'identità, Privileged Identity ManagementIdentity Protection, Privileged Identity Management Aggiunta di un dispositivo ad Azure AD, SSO per desktop, Microsoft Passport per Azure AD, ripristino Bitlocker per amministratori, Iscrizione automatica MDM, ripristino Bitlocker self-service, amministratori locali aggiuntivi per dispositivi Windows 10 tramite aggiunta ad Azure ADJoin a device to Azure AD, Desktop SSO, Microsoft Passport for Azure AD, Administrator Bitlocker recovery, MDM auto-enrollment, Self-Service Bitlocker recovery, Additional local administrators to Windows 10 devices via Azure AD Join
  • Cloud App Discovery è una funzionalità Premium di Azure Active Directory che consente di identificare le applicazioni cloud usate dai dipendenti dell'organizzazione.Cloud App Discovery is a premium feature of Azure Active Directory that enables you to identify cloud applications that are used by the employees in your organization.

  • Azure Active Directory Identity Protection è un servizio di sicurezza che usa le funzionalità di rilevamento anomalie di Azure Active Directory per offrire una visualizzazione consolidata degli eventi di rischio e delle potenziali vulnerabilità che potrebbero influire sulle identità dell'organizzazione.Azure Active Directory Identity Protection is a security service that uses Azure Active Directory anomaly detection capabilities to provide a consolidated view into risk events and potential vulnerabilities that could affect your organization’s identities.

  • Azure Active Directory Domain Services consente di aggiungere VM di Azure a un dominio senza che sia necessario distribuire controller di dominio.Azure Active Directory Domain Services enables you to join Azure VMs to a domain without the need to deploy domain controllers. Gli utenti accedono a queste VM usando le credenziali aziendali di Active Directory e possono accedere alle risorse con facilità.Users sign in to these VMs by using their corporate Active Directory credentials, and can seamlessly access resources.

  • Azure Active Directory B2C è un servizio di gestione delle identità globale a disponibilità elevata per app rivolte agli utenti, scalabile fino a centinaia di milioni di identità e integrabile con piattaforme Web e per dispositivi mobili.Azure Active Directory B2C is a highly available, global identity management service for consumer-facing apps that can scale to hundreds of millions of identities and integrate across mobile and web platforms. I clienti possono accedere a tutte le applicazioni tramite esperienze personalizzabili con account dei social media esistenti oppure con creando nuove credenziali autonome.Your customers can sign in to all your apps through customizable experiences that use existing social media accounts, or you can create new standalone credentials.

  • Collaborazione B2B di Azure Active Directory è una soluzione di integrazione dei partner che supporta le relazioni tra aziende consentendo ai partner di accedere in modo selettivo alle applicazioni e ai dati aziendali usando le proprie identità autogestite.Azure Active Directory B2B Collaboration is a secure partner integration solution that supports your cross-company relationships by enabling partners to access your corporate applications and data selectively by using their self-managed identities.

  • L'aggiunta ad Azure Active Directory consente di estendere le funzionalità del cloud a dispositivi Windows 10 per una gestione centralizzata.Azure Active Directory Join enables you to extend cloud capabilities to Windows 10 devices for centralized management. Gli utenti possono così connettersi al cloud dell'azienda o dell'organizzazione tramite Azure Active Directory usufruendo di un accesso semplificato alle app e alle risorse.It makes it possible for users to connect to the corporate or organizational cloud through Azure Active Directory and simplifies access to apps and resources.

  • Il proxy di applicazione di Azure Active Directory fornisce l'accesso remoto sicuro e SSO per le applicazioni Web ospitate in locale.Azure Active Directory Application Proxy provides SSO and secure remote access for web applications hosted on-premises.

Fasi successiveNext Steps

Servizi e funzionalità di Azure che è possibile usare per proteggere i servizi e i dati in AzureAzure services and features you can use to help secure your services and data within Azure

Prevenire, rilevare e rispondere alle minacce con un livello di visibilità e controllo più elevato della sicurezza delle risorse di AzurePrevent, detect, and respond to threats with increased visibility and control over the security of your Azure resources

Funzionalità di monitoraggio del Centro sicurezza di Azure per verificare la conformità ai criteriThe monitoring capabilities in Azure Security Center to monitor compliance with policies.