Procedure consigliate per la sicurezza delle VM di AzureBest practices for Azure VM security

Nella maggior parte degli scenari Infrastructure as a Service (IaaS) le macchine virtuali (VM) di Azure rappresentano il carico di lavoro principale per le organizzazioni che usano il cloud computing.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Questo è particolarmente evidente negli scenari ibridi in cui le organizzazioni vogliono eseguire lentamente la migrazione dei carichi di lavoro nel cloud.This fact is especially evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. In questi scenari seguire la considerazioni generali sulla sicurezza per IaaS e applicare le procedure consigliate di sicurezza a tutte le VM.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Questo articolo tratta varie procedure consigliate di sicurezza per le VM derivate da esperienze dei nostri clienti e nostre esperienze dirette con le VM stesse.This article discusses various VM security best practices, each derived from our customers' and our own direct experiences with VMs.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Poiché le opinioni e le tecnologie possono cambiare nel tempo, questo articolo verrà aggiornato regolarmente per riflettere tali variazioni.Because opinions and technologies can change over time, we plan to update this article regularly to reflect those changes.

Per ciascuna procedura consigliata l'articolo spiega:For each best practice, the article explains:

  • In cosa consiste la procedura consigliata.What the best practice is.
  • Perché è preferibile abilitarla.Why it's a good idea to enable it.
  • Come imparare ad abilitarla.How you can learn to enable it.
  • Cosa potrebbe succedere se non la si abilita.What might happen if you fail to enable it.
  • Possibili alternative alla procedura consigliata.Possible alternatives to the best practice.

L'articolo esamina le seguenti procedure consigliate di sicurezza per le VM:The article examines the following VM security best practices:

  • Autenticazione e controllo di accesso della VMVM authentication and access control
  • Disponibilità e accesso alla rete della VMVM availability and network access
  • Protezione dei dati inattivi nelle VM tramite l'applicazione della crittografiaProtect data at rest in VMs by enforcing encryption
  • Gestire gli aggiornamenti della VMManage your VM updates
  • Gestire le condizioni di sicurezza della VMManage your VM security posture
  • Monitorare le prestazioni della VMMonitor VM performance

Autenticazione e controllo di accesso della VMVM authentication and access control

Il primo passo per proteggere la VM è garantire che solo gli utenti autorizzati possano configurare la VM.The first step in protecting your VM is to ensure that only authorized users are able to set up new VMs. È possibile usare i criteri di Azure per definire le convenzioni per le risorse nell'organizzazione, creare criteri personalizzati e applicarli alle risorse, ad esempio ai gruppi di risorse.You can use Azure policies to establish conventions for resources in your organization, create customized policies, and apply these policies to resources, such as resource groups.

Le VM che appartengono a un gruppo di risorse ereditano naturalmente i suoi criteri.VMs that belong to a resource group naturally inherit its policies. Sebbene questo approccio alla gestione delle VM sia consigliabile, è possibile controllare l'accesso ai singoli criteri della MV usando il controllo degli accessi in base al ruolo (RBAC).Although we recommend this approach to managing VMs, you can also control access to individual VM policies by using role-based access control (RBAC).

Quando si abilitano i criteri di Resource Manager e controllo degli accessi in base al ruolo per controllare l'accesso alla VM, si migliora la sicurezza complessiva della VM.When you enable Resource Manager policies and RBAC to control VM access, you help improve overall VM security. Si consiglia di consolidare le VM con lo stesso ciclo di vita nello stesso gruppo di risorse.We recommend that you consolidate VMs with the same life cycle into the same resource group. Usando i gruppi di risorse è possibile distribuire, monitorare ed eseguire il rollup dei costi di fatturazione per le risorse.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources. Per consentire agli utenti di accedere e configurare le VM, usare un approccio con privilegi minimi.To enable users to access and set up VMs, use a least privilege approach. E quando si assegnano privilegi agli utenti prevedere di usare i seguenti ruoli predefiniti di Azure:And when you assign privileges to users, plan to use the following built-in Azure roles:

Non condividere account e password tra gli amministratori e non riutilizzare le password per più account utente o servizi, in particolare quelle dei social media o di altre attività non amministrative.Don't share accounts and passwords between administrators, and don't reuse passwords across multiple user accounts or services, particularly passwords for social media or other non-administrative activities. Si consiglia di usare i modelli di Azure Resource Manager per configurare in sicurezza le VM.Ideally, you should use Azure Resource Manager templates to set up your VMs securely. Usando questo approccio è possibile rafforzare le opzioni di distribuzione e applicare le impostazioni di sicurezza per la distribuzione.By using this approach, you can strengthen your deployment choices and enforce security settings throughout the deployment.

Le organizzazioni che non applicano il controllo di accesso ai dati sfruttando funzionalità come il controllo degli accessi in base al ruolo potrebbero concedere più privilegi del necessario agli utenti.Organizations that do not enforce data-access control by taking advantage of capabilities such as RBAC might be granting their users more privileges than necessary. L'accesso utente inappropriato ad alcuni dati può compromettere direttamente i dati.Inappropriate user access to certain data can directly compromise that data.

Disponibilità e accesso alla rete della VMVM availability and network access

Se la VM esegue applicazioni critiche che richiedono un'elevata disponibilità, è consigliabile usare più VM.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Per una maggiore disponibilità, creare almeno due macchine virtuali nel set di disponibilità.For better availability, create at least two VMs in the availability set.

Azure Load Balancer richiede inoltre che le VM con carico bilanciato appartengano allo stesso set di disponibilità.Azure Load Balancer also requires that load-balanced VMs belong to the same availability set. Se per queste VM è necessario eseguire l'accesso da Internet, si dovrà configurare un servizio di bilanciamento del carico con connessione Internet.If these VMs must be accessed from the Internet, you must configure an Internet-facing load balancer.

Quando le VM sono esposte a Internet, è importante controllare il flusso del traffico di rete con gruppi di sicurezza di rete (NSG).When VMs are exposed to the Internet, it is important that you control network traffic flow with network security groups (NSGs). Poiché i gruppi di sicurezza di rete possono essere applicati alle subnet, è possibile ridurre al minimo il numero di gruppi di sicurezza di rete raggruppando le risorse per subnet e poi applicando i gruppi di sicurezza di rete alle subnet.Because NSGs can be applied to subnets, you can minimize the number of NSGs by grouping your resources by subnet and then applying NSGs to the subnets. Lo scopo è quello di creare un livello di isolamento della rete, che si può ottenere configurando correttamente le capacità di sicurezza di rete in Azure.The intent is to create a layer of network isolation, which you can do by properly configuring the network security capabilities in Azure.

È inoltre possibile usare la funzionalità di accesso alle VM just in time dal Centro sicurezza di Azure per controllare chi può accedere da remoto a una VM specifica e per quanto tempo.You can also use the just-in-time (JIT) VM-access feature from Azure Security Center to control who has remote access to a specific VM, and for how long.

Le organizzazioni che non applicano restrizioni di accesso alle VM connesse a Internet sono esposte a rischi di sicurezza, ad esempio attacco di forza bruta Remote Desktop Protocol (RDP).Organizations that don't enforce network-access restrictions to Internet-facing VMs are exposed to security risks, such as a Remote Desktop Protocol (RDP) Brute Force attack.

Protezione dei dati inattivi nelle VM di Azure tramite l'applicazione della crittografiaProtect data at rest in your VMs by enforcing encryption

La crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy, la conformità e la sovranità dei dati.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty. Azure Disk Encryption consente agli amministratori IT di crittografare i dischi delle VM IaaS Windows e Linux.Azure Disk Encryption enables IT administrators to encrypt Windows and Linux IaaS VM disks. Crittografia dischi combina la funzionalità standard di settore BitLocker di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia del volume per i dischi del sistema operativo e dei dati.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

È possibile applicare Crittografia dischi per contribuire alla protezione dei dati in modo da rispettare i requisiti dell'organizzazione in merito a sicurezza e conformità.You can apply Disk Encryption to help safeguard your data to meet your organizational security and compliance requirements. La crittografia permette anche all'organizzazione di ridurre i rischi correlati all'accesso non autorizzato ai dati.Your organization should consider using encryption to help mitigate risks related to unauthorized data access. È consigliabile anche crittografare le unità prima di scrivere dati sensibili.We also recommend that you encrypt your drives before you write sensitive data to them.

Assicurarsi di crittografare i volumi di dati della VM per proteggerli nello stato inattivo nell'account di archiviazione di Azure.Be sure to encrypt your VM data volumes to protect them at rest in your Azure storage account. Proteggere le chiavi di crittografia e la chiave privata con Azure Key Vault.Safeguard the encryption keys and secret by using Azure Key Vault.

Le organizzazioni che non applicano la crittografia dei dati sono più esposte a problemi di integrità dei dati.Organizations that do not enforce data encryption are more exposed to data-integrity issues. Gli utenti non autorizzati, ad esempio, potrebbero rubare dati negli account compromessi o ottenere l'accesso non autorizzato ai dati codificati in ClearFormat.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in ClearFormat. Oltre a correre questi rischi, per la conformità alle normative di settore, le aziende devono dimostrare di operare con diligenza e di usare controlli di sicurezza appropriati per migliorare la sicurezza dei dati.Besides taking on such risks, to comply with industry regulations, companies must prove that they are exercising diligence and using correct security controls to enhance their data security.

Per altre informazioni su Crittografia dischi, vedere Azure Disk Encryption per le macchine virtuali IaaS Windows e Linux.To learn more about Disk Encryption, see Azure Disk Encryption for Windows and Linux IaaS VMs.

Gestire gli aggiornamenti della VMManage your VM updates

Poiché le VM di Azure, come tutte le VM locali, dovranno essere gestite dall'utente, Azure non applica gli aggiornamenti di Windows a queste.Because Azure VMs, like all on-premises VMs, are intended to be user-managed, Azure doesn't push Windows updates to them. Tuttavia si consiglia di lasciare abilitata l'impostazione automatica di Windows Update.You are, however, encouraged to leave the automatic Windows Update setting enabled. Un'altra opzione consiste nel distribuire Windows Server Update Services (WSUS) o un altro prodotto appropriato di gestione degli aggiornamenti in un'altra VM o in locale.Another option is to deploy Windows Server Update Services (WSUS) or another suitable update-management product either on another VM or on-premises. Sia WSUS che Windows Update mantengono aggiornate le VM.Both WSUS and Windows Update keep VMs current. Si consiglia anche di usare un prodotto di analisi per verificare che tutte le VM IaaS siano aggiornate.We also recommend that you use a scanning product to verify that all your IaaS VMs are up to date.

Le immagini di archivio fornite da Azure vengono regolarmente aggiornate per includere i più recenti aggiornamenti di Windows.Stock images provided by Azure are routinely updated to include the most recent round of Windows updates. Tuttavia non vi è alcuna garanzia che le immagini saranno aggiornate in fase di distribuzione.However, there is no guarantee that the images will be current at deployment time. Sono possibili leggeri ritardi (di non più di alcune settimane) dopo i rilasci.A slight lag (of no more than a few weeks) following public releases might be possible. Controllare e installare tutti gli aggiornamenti di Windows deve essere il primo passo di ogni distribuzione.Checking for and installing all Windows updates should be the first step of every deployment. Questa misura è particolarmente importante da applicare quando si distribuiscono immagini proprie o provenienti dalla propria libreria.This measure is especially important to apply when you deploy images that come from either you or your own library. Le immagini che vengono fornite come parte di Azure Marketplace vengono aggiornate automaticamente per impostazione predefinita.Images that are provided as part of the Azure Marketplace are updated automatically by default.

Le organizzazioni che non applicano criteri di aggiornamento del software sono più esposte a minacce che sfruttano vulnerabilità note e corrette in precedenza.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Oltre al rischio rappresentato da queste minacce, per la conformità con le normative di settore le aziende devono dimostrare di operare con diligenza e di usare controlli di sicurezza appropriati per garantire la sicurezza dei carichi di lavoro che si trovano nel cloud.Besides risking such threats, to comply with industry regulations, companies must prove that they are exercising diligence and using correct security controls to help ensure the security of their workload located in the cloud.

È importante sottolineare che le procedure consigliate di aggiornamento del software per i data center tradizionali e IaaS di Azure presentano molte analogie.It is important to emphasize that software-update best practices for traditional datacenters and Azure IaaS have many similarities. Si consiglia perciò di valutare i criteri di aggiornamento del software correnti per includere le VM.We therefore recommend that you evaluate your current software update policies to include VMs.

Gestire le condizioni di sicurezza della VMManage your VM security posture

Le minacce informatiche si evolvono e per proteggere le VM è necessaria una capacità di monitoraggio completa che possa rilevare rapidamente le minacce, impedire l'accesso non autorizzato alle risorse, attivare gli avvisi e ridurre i falsi positivi.Cyber threats are evolving, and safeguarding your VMs requires a rich monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives. Le condizioni di sicurezza per un carico di lavoro di questo tipo includono tutti gli aspetti della sicurezza della VM, dalla gestione degli aggiornamenti all'accesso sicuro alla rete.The security posture for such a workload comprises all security aspects of the VM, from update management to secure network access.

Per monitorare le condizioni di sicurezza delle VM Windows e Linux, usare Centro sicurezza di Azure.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. In Centro sicurezza di Azure proteggere le VM sfruttando le seguenti capacità:In Azure Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Applicare le impostazioni di sicurezza del sistema operativo con le regole di configurazione consigliateApply OS security settings with recommended configuration rules
  • Identificare e scaricare gli aggiornamenti critici e di sicurezza del sistema che potrebbero mancareIdentify and download system security and critical updates that might be missing
  • Consigli per la protezione antimalware degli endpoint di distribuzioneDeploy Endpoint antimalware protection recommendations
  • Convalidare la crittografia del discoValidate disk encryption
  • Valutare e correggere le vulnerabilitàAssess and remediate vulnerabilities
  • Rilevare le minacceDetect threats

Il Centro sicurezza può monitorare attivamente le minacce e le minacce potenziali sono esposte in Avvisi sicurezza.Security Center can actively monitor for threats, and potential threats are exposed under Security Alerts. Le minacce correlate sono aggregate in un'unica visualizzazione denominata Evento imprevisto della sicurezza.Correlated threats are aggregated in a single view called Security Incident.

Per comprendere come il Centro sicurezza consenta di identificare le potenziali minacce nelle VM all'interno di Azure, guardare il video seguente:To understand how Security Center can help you identify potential threats in your VMs located in Azure, watch the following video:

Le organizzazioni che non applicano condizioni di sicurezza avanzate per le proprie VM rimangono all'oscuro della presenza di potenziali tentativi da parte di utenti non autorizzati di aggirare i controlli di sicurezza stabiliti.Organizations that don't enforce a strong security posture for their VMs remain unaware of potential attempts by unauthorized users to circumvent established security controls.

Monitorare le prestazioni della VMMonitor VM performance

L'uso improprio delle risorse può essere un problema quando i processi della VM utilizzano più risorse di quanto dovrebbero.Resource abuse can be a problem when VM processes consume more resources than they should. I problemi di prestazioni di una VM possono causare interruzioni del servizio, il che viola il principio di disponibilità della sicurezza.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Per questo motivo è fondamentale monitorare l'accesso alla VM non solo in modo reattivo (mentre un problema si sta verificando) ma anche in modo proattivo, rispetto alle prestazioni misurate durante il periodo di normale funzionamento.For this reason, it is imperative to monitor VM access not only reactively, while an issue is occurring, but also proactively, against baseline performance as measured during normal operation.

Analizzando i file di log di diagnostica di Azure, è possibile monitorare le risorse della VM e identificare i potenziali problemi che potrebbero compromettere le prestazioni e la disponibilità.By analyzing Azure diagnostic log files, you can monitor your VM resources and identify potential issues that might compromise performance and availability. L'estensione Diagnostica di Azure offre funzionalità di monitoraggio e diagnostica nelle VM Windows.The Azure Diagnostics Extension provides monitoring and diagnostics capabilities on Windows-based VMs. È possibile abilitare queste funzionalità includendo l'estensione come parte del modello di Azure Resource Manager.You can enable these capabilities by including the extension as part of the Azure Resource Manager template.

È possibile usare Monitoraggio di Azure per ottenere visibilità sull'integrità della risorsa.You can also use Azure Monitor to gain visibility into your resource’s health.

Le organizzazioni che non monitorano le prestazioni della VM non sono in grado di capire se determinate modifiche nei modelli di prestazioni sono normali o anomale.Organizations that don't monitor VM performance are unable to determine whether certain changes in performance patterns are normal or abnormal. Se la VM consuma più risorse del normale, una tale anomalia potrebbe indicare un potenziale attacco proveniente da una risorsa esterna o un processo compromesso in esecuzione nella VM.If the VM is consuming more resources than normal, such an anomaly could indicate a potential attack from an external resource or a compromised process running in the VM.