Introduzione alla sicurezza in Microsoft AzureGetting started with Microsoft Azure security

Quando si compilano asset IT o se ne esegue la migrazione in un provider di servizi cloud, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli forniti per gestire la sicurezza degli asset basati sul cloud.When you build or migrate IT assets to a cloud provider, you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure offre anche un'ampia gamma di opzioni di sicurezza configurabili, con la possibilità di controllarle per poter personalizzare la sicurezza e soddisfare così i requisiti univoci di ogni distribuzione.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your deployments.

In questa panoramica sulla sicurezza in Azure si esamineranno:In this overview article on Azure security, we’ll look at:

  • Servizi e funzionalità di Azure che è possibile usare per proteggere i servizi e i dati in Azure.Azure services and features you can use to help secure your services and data within Azure.
  • Difesa dell'infrastruttura di Azure da parte di Microsoft per proteggere i dati e le applicazioni.How Microsoft secures the Azure infrastructure to help protect your data and applications.

Gestione delle identità e dell'accessoIdentity and access management

Controllare l'accesso all'infrastruttura IT, alle applicazioni e ai dati è fondamentale.Controlling access to IT infrastructure, data, and applications is critical. Microsoft Azure offre queste funzionalità tramite servizi come Azure Active Directory (Azure AD), Archiviazione di Azure e il supporto per svariati standard e API.Microsoft Azure delivers these capabilities by services such as Azure Active Directory (Azure AD), Azure Storage, and support for numerous standards and APIs.

Azure AD è un repository di identità e un motore che fornisce l'autenticazione, l'autorizzazione e il controllo di accesso per gli utenti, i gruppi e gli oggetti di un'organizzazione.Azure AD is an identity repository and engine that provides authentication, authorization, and access control for an organization's users, groups, and objects. Azure AD offre agli sviluppatori anche un modo efficace per l'integrazione della gestione delle identità nelle applicazioni.Azure AD also offers developers an effective way to integrate identity management in their applications. I protocolli standard di settore come SAML 2.0, WS-Federation e OpenID Connect rendono l'accesso possibile in piattaforme quali .NET, Java, Node.js e PHP.Industry-standard protocols such as SAML 2.0, WS-Federation, and OpenID Connect make sign-in possible on platforms such as .NET, Java, Node.js, and PHP.

L'API Graph basata su REST consente agli sviluppatori di leggere e scrivere nella directory da qualsiasi piattaforma.The REST-based Graph API enables developers to read and write to the directory from any platform. Grazie al supporto per OAuth 2.0, gli sviluppatori possono creare applicazioni Web e per dispositivi mobili che possano integrarsi con API Web Microsoft e di terze parti, per creare API Web personalizzate e sicure.Through support for OAuth 2.0, developers can build mobile and web applications that integrate with Microsoft and third-party web APIs, and build their own secure web APIs. Sono disponibili librerie client open source per .NET, Windows Store, iOS e Android, con altre librerie in fase di sviluppo.Open-source client libraries are available for .Net, Windows Store, iOS, and Android, with additional libraries under development.

Come Azure abilita la gestione delle identità e dell'accessoHow Azure enables identity and access management

Azure AD può essere usato come directory cloud autonoma dell'organizzazione oppure come soluzione integrata con l'implementazione di Active Directory locale esistente.Azure AD can be used as a standalone cloud directory for your organization or as an integrated solution with your existing on-premises Active Directory. Alcune funzionalità di integrazione includono la sincronizzazione della directory e Single Sign-On (SSO),Some integration features include directory sync and single sign-on (SSO). che estendono l'ambito delle identità locali esistenti al cloud e migliorano l'esperienza amministratore e utente.These extend the reach of your existing on-premises identities into the cloud and improve the admin and user experience.

Alcune delle altre funzionalità di gestione delle identità e dell'accesso includono:Some other capabilities for identity and access management include:

  • Azure AD abilita SSO nelle applicazioni SaaS, indipendentemente da dove vengono ospitate.Azure AD enables SSO to SaaS applications, regardless of where they are hosted. Alcune applicazioni sono federate con Azure AD e altre usano SSO basato su password.Some applications are federated with Azure AD, and others use password SSO. Le applicazioni federate possono anche supportare il provisioning utenti e l'insieme di credenziali delle password.Federated applications can also support user provisioning and password vaulting.
  • L'accesso ai dati in Archiviazione di Azure è controllato dall'autenticazione.Access to data in Azure Storage is controlled via authentication. Ogni account di archiviazione ha una chiave primaria (chiave dell'account di archiviazione) e una chiave privata secondaria (firma di accesso condiviso).Each storage account has a primary key (storage account key, or SAK) and a secondary secret key (the shared access signature, or SAS).
  • Azure AD fornisce l'identità come servizio usando la federazione (con Active Directory Federation Services), la sincronizzazione e la replica con le directory locali.Azure AD provides Identity as a Service through federation by using Active Directory Federation Services, synchronization, and replication with on-premises directories.
  • Azure Multi-Factor Authentication è il servizio di autenticazione a più fattori che richiede agli utenti di verificare l'accesso usando un'app mobile, una chiamata telefonica o un SMS.Azure Multi-Factor Authentication is the multi-factor authentication service that requires users to verify sign-ins by using a mobile app, phone call, or text message. Può essere usato con Azure AD per la protezione delle risorse locali con il server Azure Multi-Factor Authentication e anche con applicazioni e directory personalizzate che usano l'SDK.It can be used with Azure AD to help secure on-premises resources with the Azure Multi-Factor Authentication server, and also with custom applications and directories using the SDK.
  • Azure AD Domain Services consente di aggiungere le macchine virtuali di Azure a un dominio senza distribuire controller di dominio.Azure AD Domain Services lets you join Azure virtual machines to a domain without deploying domain controllers. È possibile accedere a queste macchine virtuali con le credenziali di Active Directory aziendali e amministrare le macchine virtuali aggiunte a un dominio usando Criteri di gruppo per applicare le baseline della sicurezza in tutte le macchine virtuali di Azure.You can sign in to these virtual machines with your corporate Active Directory credentials and administer domain-joined virtual machines by using Group Policy to enforce security baselines on all your Azure virtual machines.
  • Azure Active Directory B2C offre un servizio di gestione delle identità globale a disponibilità elevata per le applicazioni rivolte agli utenti, con scalabilità fino a centinaia di milioni di identità.Azure Active Directory B2C provides a highly available global-identity management service for consumer-facing applications that scales to hundreds of millions of identities. Il servizio può essere integrato tra piattaforme mobili e Web.It can be integrated across mobile and web platforms. Gli utenti possono accedere a tutte le applicazioni attraverso esperienze personalizzabili usando gli account dei propri social network esistenti o creando nuove credenziali.Your consumers can sign in to all your applications through customizable experiences by using their existing social accounts or by creating new credentials.

Controllo di accesso ai dati e crittografiaData access control and encryption

Microsoft adotta i principi di separazione dei compiti e dei privilegi minimi in tutte le operazioni di Azure.Microsoft employs the principles of Separation of Duties and Least Privilege throughout Azure operations. L'accesso ai dati da parte del personale di supporto di Azure richiede un'autorizzazione esplicita che viene concessa su base JIT e viene registrata e controllata e infine revocata al termine dell'impegno.Access to data by Azure support personnel requires your explicit permission and is granted on a “just-in-time” basis that is logged and audited, then revoked after completion of the engagement.

Azure offre anche diverse funzionalità per la protezione dei dati in transito e inattivi,Azure also provides multiple capabilities for protecting data in transit and at rest. tra cui la crittografia per dati, file, applicazioni, servizi, comunicazioni e unità.This includes encryption for data, files, applications, services, communications, and drives. È possibile non solo crittografare le informazioni prima di inserirle in Azure, ma anche archiviare le chiavi nei data center locali.You can encrypt information before placing it in Azure, and also store keys in your on-premises datacenters.

Microsoft Antimalware in Azure

Tecnologie di crittografia di AzureAzure encryption technologies

È possibile raccogliere informazioni dettagliate sull'accesso amministrativo all'ambiente della sottoscrizione usando la creazione report di Azure AD.You can gather details on administrative access to your subscription environment by using Azure AD Reporting. È possibile configurare Crittografia unità BitLocker nei VHD contenenti informazioni riservate in Azure.You can configure BitLocker Drive Encryption on VHDs containing sensitive information in Azure.

Le altre funzionalità di Azure che facilitano la protezione dei dati includono:Other capabilities in Azure that will assist you to keep your data secure include:

  • Gli sviluppatori di applicazioni possono integrare la crittografia nelle applicazioni distribuite in Azure usando CryptoAPI di Windows e .NET Framework.Application developers can build encryption into the applications they deploy in Azure by using the Windows CryptoAPI and .NET Framework.
  • Controllare completamente le chiavi con la crittografia lato client per l'archivio BLOB di Azure.Completely control the keys with client-side encryption for Azure Blob storage. Il servizio di archiviazione non vede mai le chiavi e non può decrittografare i dati.The storage service never sees the keys and is incapable of decrypting the data.
  • Azure Rights Management (Azure RMS) (con RMS SDK) fornisce la crittografia a livello di file e di dati e la prevenzione della perdita di dati nella gestione dell'accesso basato su criteri.Azure Rights Management (Azure RMS) (with the RMS SDK) provides file and data-level encryption and data-leak prevention through policy-based access management.
  • Azure supporta la crittografia a livello di tabella e a livello di colonna (TDE/CLE) nelle macchine virtuali di SQL Server e supporta i server di gestione delle chiavi locali di terze parti nei data center.Azure supports table-level and column-level encryption (TDE/CLE) in SQL Server virtual machines, and it supports third-party on-premises key management servers in datacenters.
  • Le chiavi dell'account di archiviazione, le firme di accesso condiviso, i certificati di gestione e altre chiavi sono univoci per ogni tenant di Azure.Storage Account Keys, Shared Access Signatures, management certificates, and other keys are unique to each Azure tenant.
  • La risorsa di archiviazione ibrida Azure StorSimple crittografa i dati con una coppia di chiavi pubbliche/private a 128 bit prima di caricarli in Archiviazione di Azure.Azure StorSimple hybrid storage encrypts data via a 128-bit public/private key pair before uploading it to Azure Storage.
  • Azure supporta e usa diversi meccanismi di crittografia, tra cui SSL/TLS, IPsec e AES, in base ai tipi di dati, ai contenitori e ai trasporti.Azure supports and uses numerous encryption mechanisms, including SSL/TLS, IPsec, and AES, depending on the data types, containers, and transports.

VirtualizzazioneVirtualization

La piattaforma Azure usa un ambiente virtualizzato.The Azure platform uses a virtualized environment. Le istanze utente funzionano come macchine virtuali autonome prive di accesso a un server host fisico e questo isolamento viene applicato usando i livelli di privilegi del processore (ring-0/ring-3) fisico.User instances operate as standalone virtual machines that do not have access to a physical host server, and this isolation is enforced by using physical processor (ring-0/ring-3) privilege levels.

Ring 0 è il livello con più privilegi e 3 quello con meno privilegi.Ring 0 is the most privileged and 3 is the least. Il sistema operativo guest viene eseguito in un livello Ring 1 con meno privilegi e le applicazioni vengono eseguite nel livello con privilegi minimi Ring 3.The guest OS runs in a lesser-privileged Ring 1, and applications run in the least privileged Ring 3. Questa virtualizzazione delle risorse fisiche porta a una netta separazione tra il sistema operativo guest e l'hypervisor, con un'ulteriore separazione della sicurezza tra i due.This virtualization of physical resources leads to a clear separation between guest OS and hypervisor, resulting in additional security separation between the two.

L'hypervisor di Azure funge da micro-kernel e passa tutte le richieste di accesso all'hardware dalle macchine virtuali guest all'host per elaborarle usando un'interfaccia di memoria condivisa denominata VMBus.The Azure hypervisor acts like a micro-kernel and passes all hardware access requests from guest virtual machines to the host for processing by using a shared-memory interface called VMBus. Questo impedisce agli utenti di ottenere l'accesso in lettura/scrittura/esecuzione non elaborato al sistema e riduce il rischio di condividere le risorse di sistema.This prevents users from obtaining raw read/write/execute access to the system and mitigates the risk of sharing system resources.

Microsoft Antimalware in Azure

Come Azure implementa la virtualizzazioneHow Azure implements virtualization

Azure usa un firewall hypervisor (filtro di pacchetti), implementato nell'hypervisor e configurato da un agente controller di infrastruttura.Azure uses a hypervisor firewall (packet filter) that is implemented in the hypervisor and configured by a fabric controller agent. Ciò consente di proteggere i tenant da accesso non autorizzato.This helps protect tenants from unauthorized access. Per impostazione predefinita, tutto il traffico viene bloccato quando viene creata una macchina virtuale e quindi l'agente controller di infrastruttura configura il filtro di pacchetti per aggiungere regole ed eccezioni per consentire il traffico autorizzato.By default, all traffic is blocked when a virtual machine is created, and then the fabric controller agent configures the packet filter to add rules and exceptions to allow authorized traffic.

In questo caso sono previste due categorie di regole:There are two categories of rules that are programmed here:

  • Regole di configurazione macchina virtuale o di infrastruttura: per impostazione predefinita, vengono bloccate tutte le comunicazioni.Machine configuration or infrastructure rules: By default, all communication is blocked. Alcune eccezioni consentono a una macchina virtuale di inviare e ricevere il traffico DHCP e DNS.There are exceptions to allow a virtual machine to send and receive DHCP and DNS traffic. Le macchine virtuali possono anche inviare il traffico a Internet "pubblico" e inviare il traffico ad altre macchine virtuali nel cluster e nel server di attivazione del sistema operativo.Virtual machines can also send traffic to the “public” internet and send traffic to other virtual machines within the cluster and the OS activation server. L'elenco di destinazioni in uscita consentite delle macchine virtuali non include subnet di router di Azure, back-end di gestione di Azure e altre proprietà Microsoft.The virtual machines’ list of allowed outgoing destinations does not include Azure router subnets, Azure management back end, and other Microsoft properties.
  • File di configurazione dei ruoli: definisce gli elenchi di controllo di accesso (ACL) in ingresso in base al modello di servizio del tenant.Role configuration file: This defines the inbound Access Control Lists (ACLs) based on the tenant's service model. Se ad esempio un tenant ha un front-end Web sulla porta 80 in una macchina virtuale, Azure apre la porta TCP 80 a tutti gli indirizzi IP se si sta configurando un endpoint nel modello di distribuzione classica di Azure.For example, if a tenant has a Web front end on port 80 on a certain virtual machine, then Azure opens TCP port 80 to all IPs if you’re configuring an endpoint in the Azure classic deployment model. Se la macchina virtuale ha un ruolo di lavoro o back-end in esecuzione, apre il ruolo di lavoro solo per la macchina virtuale nello stesso tenant.If the virtual machine has a back end or worker role running, then it opens the worker role only to the virtual machine within the same tenant.

IsolamentoIsolation

Un altro importante requisito di sicurezza del cloud è garantire la separazione per impedire il trasferimento non autorizzato e non intenzionale di informazioni tra le distribuzioni in un'architettura multi-tenant condivisa.Another important cloud security requirement is separation to prevent unauthorized and unintentional transfer of information between deployments in a shared multi-tenant architecture.

Azure implementa il controllo di accesso alla rete e la separazione tramite l'isolamento VLAN, gli ACL, i servizi di bilanciamento del carico e i filtri IP.Azure implements network access control and segregation through VLAN isolation, ACLs, load balancers, and IP filters. Limita il traffico esterno in ingresso alle porte e ai protocolli nelle macchine virtuali definite.It restricts external traffic inbound to ports and protocols on your virtual machines that you define. Azure implementa l'applicazione di filtri alla rete per impedire il traffico falsificato e limitare il traffico in ingresso e in uscita ai componenti attendibili della piattaforma.Azure implements network filtering to prevent spoofed traffic and restrict incoming and outgoing traffic to trusted platform components. Nei dispositivi di protezione perimetrale vengono implementati criteri di flusso che rifiutano il traffico per impostazione predefinita.Traffic flow policies are implemented on boundary protection devices that deny traffic by default.

Microsoft Antimalware in Azure

Network Address Translation (NAT) viene usato per separare il traffico di rete interno dal traffico esterno.Network Address Translation (NAT) is used to separate internal network traffic from external traffic. Il traffico interno non è instradabile all'esterno.Internal traffic is not externally routable. Gli indirizzi IP virtuali instradabili all'esterno vengono convertiti in indirizzi IP dinamici interni instradabili solo in Azure.Virtual IP addresses that are externally routable are translated into internal Dynamic IP addresses that are only routable within Azure.

Il traffico esterno verso le macchine virtuali di Azure è protetto con firewall dagli ACL su router, servizi di bilanciamento del carico e commutatori di livello 3.External traffic to Azure virtual machines is firewalled via ACLs on routers, load balancers, and Layer 3 switches. Sono consentiti solo protocolli noti specifici.Only specific known protocols are permitted. Gli ACL vengono applicati per limitare il traffico originato dalle macchine virtuali guest verso altre VLAN usate per la gestione.ACLs are in place to limit traffic originating from guest virtual machines to other VLANs used for management. Inoltre il traffico filtrato con filtri IP nel sistema operativo host viene ulteriormente limitato a livello rete e di collegamento dati.In addition, traffic filtered via IP filters on the host OS further limits the traffic on both data link and network layers.

Come Azure implementa l'isolamentoHow Azure implements isolation

Il controller di infrastruttura di Azure è responsabile dell'allocazione delle risorse dell'infrastruttura nei carichi di lavoro dei tenant e gestisce le comunicazioni unidirezionali dall'host alle macchine virtuali.The Azure Fabric Controller is responsible for allocating infrastructure resources to tenant workloads, and it manages unidirectional communications from the host to virtual machines. L'hypervisor di Azure impone la separazione di memoria e processi tra le macchine virtuali e instrada in modo sicuro il traffico di rete ai tenant del sistema operativo guest.The Azure hypervisor enforces memory and process separation between virtual machines, and it securely routes network traffic to guest OS tenants. Azure implementa l'isolamento anche per tenant, archiviazione e reti virtuali.Azure also implements isolation for tenants, storage, and virtual networks.

  • Ogni tenant di Azure AD viene isolato in modo logico usando i limiti di sicurezza.Each Azure AD tenant is logically isolated by using security boundaries.
  • Gli account di archiviazione di Azure sono univoci per ogni sottoscrizione e l'accesso deve essere autenticato usando una chiave dell'account di archiviazione.Azure storage accounts are unique to each subscription, and access must be authenticated by using a storage account key.
  • Le reti virtuali vengono isolate in modo logico con una combinazione di indirizzi IP privati univoci, firewall e ACL IP.Virtual networks are logically isolated through a combination of unique private IP addresses, firewalls, and IP ACLs. I servizi di bilanciamento del carico instradano il traffico ai tenant appropriati in base alle definizioni degli endpoint.Load balancers route traffic to the appropriate tenants based on endpoint definitions.

Reti virtuali e firewallVirtual networks and firewalls

Con le reti distribuite e virtuali in Azure è possibile assicurare che il traffico di rete privato venga isolato in modo logico dal traffico su altre reti virtuali di Azure.The distributed and virtual networks in Azure help ensure that your private network traffic is logically isolated from traffic on other Azure virtual networks.

Microsoft Antimalware in Azure

La sottoscrizione può contenere più reti private isolate e includere firewall, servizi di bilanciamento del carico e Network Address Translation.Your subscription can contain multiple isolated private networks (and include firewall, load balancing, and network address translation).

Azure offre tre livelli principali di separazione delle reti in ogni cluster di Azure per separare il traffico in modo logico.Azure provides three primary levels of network segregation in each Azure cluster to logically segregate traffic. Le reti locali virtuali (VLAN) vengono usate per separare il traffico dei clienti dal resto della rete di Azure.Virtual local area networks (VLANs) are used to separate customer traffic from the rest of the Azure network. L'accesso alle rete di Azure dall'esterno del cluster è limitato dai servizi di bilanciamento del carico.Access to the Azure network from outside the cluster is restricted through load balancers.

Il traffico di rete verso e dalle macchine virtuali deve passare attraverso il commutatore virtuale dell'hypervisor.Network traffic to and from virtual machines must pass through the hypervisor virtual switch. Il componente del filtro IP nel sistema operativo radice isola la macchina virtuale radice dalle macchine virtuali guest e le macchine virtuali guest l'una dall'altra.The IP filter component in the root OS isolates the root virtual machine from the guest virtual machines and the guest virtual machines from one another. Applica filtri al traffico per limitare la comunicazione tra i nodi di un tenant e Internet pubblico (in base alla configurazione del servizio del cliente), separandoli dagli altri tenant.It performs filtering of traffic to restrict communication between a tenant's nodes and the public Internet (based on the customer's service configuration), segregating them from other tenants.

Il filtro IP impedisce alle macchine virtuali guest di:The IP filter helps prevent guest virtual machines from:

  • Generare traffico falsificato.Generating spoofed traffic.
  • Ricevere traffico non indirizzato a esse.Receiving traffic not addressed to them.
  • Indirizzare il traffico agli endpoint dell'infrastruttura protetti.Directing traffic to protected infrastructure endpoints.
  • Inviare o ricevere traffico broadcast non appropriato.Sending or receiving inappropriate broadcast traffic.

È possibile inserire le macchine virtuali nelle reti virtuali di Azure.You can place your virtual machines onto Azure virtual networks. Queste reti virtuali sono simili alle reti configurate negli ambienti locali, dove vengono in genere associate a un commutatore virtuale.These virtual networks are similar to the networks you configure in on-premises environments, where they are typically associated with a virtual switch. Le macchine virtuali connesse alla stessa rete virtuale possono comunicare tra loro senza alcuna configurazione aggiuntiva.Virtual machines connected to the same virtual network can communicate with one another without additional configuration. È anche possibile configurare subnet diverse nella rete virtuale.You can also configure different subnets within your virtual network.

Per proteggere le comunicazioni sulla rete virtuale, è possibile usare le tecnologie di Rete virtuale di Azure seguenti:You can use the following Azure Virtual Network technologies to help secure communications on your virtual network:

  • Gruppi di sicurezza di rete (NSG).Network Security Groups (NSGs). È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale in una rete virtuale.You can use an NSG to control traffic to one or more virtual machine instances in your virtual network. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione.An NSG contains access control rules that allow or deny traffic based on traffic direction, protocol, source address and port, and destination address and port.
  • Routing definito dall'utente.User-defined routing. È possibile controllare il routing dei pacchetti attraverso un'appliance virtuale creando route definite dall'utente che specifichino l'hop successivo per i pacchetti che passano a una subnet specifica per accedere a un'appliance di sicurezza di rete virtuale.You can control the routing of packets through a virtual appliance by creating user-defined routes that specify the next hop for packets flowing to a specific subnet to go to a virtual network security appliance.
  • Inoltro IP.IP forwarding. Un'appliance di sicurezza di rete virtuale deve poter ricevere traffico in ingresso non indirizzato a se stessa.A virtual network security appliance must be able to receive incoming traffic that is not addressed to itself. Per consentire a una macchina virtuale di ricevere il traffico indirizzato ad altre destinazioni, abilitare l'inoltro IP per la macchina virtuale.To allow a virtual machine to receive traffic addressed to other destinations, you enable IP forwarding for the virtual machine.
  • Tunneling forzato.Forced tunneling. Il tunneling forzato consente di reindirizzare o "forzare" tutto il traffico associato a Internet generato dalle macchine virtuali in una rete virtuale verso la posizione locale tramite un tunnel VPN da sito a sito per l'ispezione e il controllo.Forced tunneling lets you redirect or "force" all Internet-bound traffic generated by your virtual machines in a virtual network back to your on-premises location via a site-to-site VPN tunnel for inspection and auditing
  • ACL endpoint.Endpoint ACLs. È possibile controllare a quali computer sono consentite le connessioni in ingresso da Internet a una macchina virtuale nella rete virtuale definendo gli ACL endpoint.You can control which machines are allowed inbound connections from the Internet to a virtual machine on your virtual network by defining endpoint ACLs.
  • Soluzioni di sicurezza di rete dei partner.Partner network security solutions. Sono disponibili numerose soluzioni di sicurezza di rete per i partner accessibili da Azure Marketplace.There are a number of partner network security solutions that you can access from the Azure Marketplace.

Come Azure implementa le reti virtuali e i firewallHow Azure implements virtual networks and firewalls

Per impostazione predefinita, Azure implementa firewall con filtro dei pacchetti in tutte le macchine virtuali host e guest.Azure implements packet-filtering firewalls on all host and guest virtual machines by default. Anche nelle immagini dei sistemi operativi Windows di Azure Marketplace, Windows Firewall è abilitato per impostazione predefinita.Windows OS images from the Azure Marketplace also have Windows Firewall enabled by default. I servizi di bilanciamento del carico sul perimetro delle reti pubbliche di Azure controllano le comunicazioni in base agli ACL IP gestiti dagli amministratori dei clienti.Load balancers at the perimeter of Azure public-facing networks control communications based on IP ACLs managed by customer administrators.

Se Azure sposta i dati di un cliente durante le normali operazioni o durante un'emergenza, l'azione viene eseguita su canali di comunicazioni crittografati privati.If Azure moves a customer’s data as part of normal operations or during a disaster, it does so over private, encrypted communications channels. Le altre funzionalità adottate da Azure da usare nelle reti virtuali e nei firewall sono:Other capabilities employed by Azure to use in virtual networks and firewalls are:

  • Firewall host nativo: Azure Service Fabric e Archiviazione di Azure vengono eseguiti in un sistema operativo nativo senza hypervisor,Native host firewall: Azure Service Fabric and Azure Storage run on a native OS that has no hypervisor. quindi Windows Firewall viene configurato con i due set di regole precedenti.Hence the windows firewall is configured with the previous two sets of rules. La risorsa di archiviazione viene eseguita come nativa per ottimizzare le prestazioni.Storage runs native to optimize performance.
  • Firewall host: il firewall host protegge il sistema operativo host che esegue l'hypervisor.Host firewall: The host firewall is to protect the host operating system that runs the hypervisor. Le regole vengono programmate per consentire solo al controller di Service Fabric e ai jumpbox di comunicare con il sistema operativo host su una porta specifica.The rules are programmed to allow only the Service Fabric controller and jump boxes to talk to the host OS on a specific port. Le altre eccezioni consentono la risposta DHCP e le risposte DNS.The other exceptions are to allow DHCP response and DNS Replies. Azure usa un file di configurazione computer che include il modello delle regole del firewall per il sistema operativo host.Azure uses a machine configuration file that has the template of firewall rules for the host OS. L'host stesso è protetto contro gli attacchi esterni da Windows Firewall configurato per poter consentire le comunicazioni solo da origini note autenticate.The host itself is protected from external attack by a Windows firewall configured to permit communication only from known, authenticated sources.
  • Firewall guest: replica le regole presenti nel filtro pacchetti del commutatore della macchina virtuale, ma programmate in un altro software, ad esempio il componente Windows Firewall del sistema operativo guest.Guest firewall: Replicates the rules in the virtual machine Switch packet filter but programmed in different software (such as the Windows Firewall piece of the guest OS). Il firewall della macchina virtuale guest può essere configurato per limitare le comunicazioni verso o dalla macchina virtuale guest, anche se la comunicazione è consentita dalle configurazioni nel filtro IP host.The guest virtual machine firewall can be configured to restrict communications to or from the guest virtual machine, even if the communication is permitted by configurations at the host IP Filter. Ad esempio, è possibile scegliere di usare il firewall della macchina virtuale guest per limitare la comunicazione tra due reti virtuali configurate per connettersi l'una all'altra.For example, you may choose to use the guest virtual machine firewall to restrict communication between two of your VNets that have been configured to connect to one another.
  • Firewall di archiviazione: il firewall sul front-end di archiviazione filtra il traffico indirizzandolo solo alle porte 80/443 e ad altre porte di utilità necessarie.Storage firewall (FW): The firewall on the storage front end filters traffic to be only on ports 80/443 and other necessary utility ports. Il firewall sul back-end di archiviazione limita le comunicazioni a quelle provenienti solo dai server front-end di archiviazione.The firewall on the storage back end restricts communications to come only from storage front-end servers.
  • Gateway di rete virtuale: il gateway di rete virtuale di Azure funge da gateway cross-premise che connette i carichi di lavoro nella rete virtuale di Azure ai siti locali.Virtual Network Gateway: The Azure Virtual Network Gateway serves as the cross-premises gateway connecting your workloads in Azure Virtual Network to your on-premises sites. È necessario connettersi ai siti locali con tunnel VPN da sito a sito IPsec o con circuiti ExpressRoute.It is required to connect to on-premises sites through IPsec site-to-site VPN tunnels, or through ExpressRoute circuits. Per i tunnel VPN IPsec/IKE, i gateway eseguono handshake IKE e stabiliscono i tunnel VPN S2S IPsec tra le reti virtuali e i siti locali.For IPsec/IKE VPN tunnels, the gateways perform IKE handshakes and establish the IPsec S2S VPN tunnels between the virtual networks and on-premises sites. I gateway di rete virtuale terminano anche le VPN da punto a sito.Virtual network gateways also terminate point-to-site VPNs.

Accesso remoto sicuroSecure remote access

Per i dati archiviati nel cloud devono essere abilitate misure di sicurezza sufficienti per impedire gli exploit e garantire la riservatezza e l'integrità durante il transito.Data stored in the cloud must have sufficient safeguards enabled to prevent exploits and maintain confidentiality and integrity while in-transit. Queste misure includono controlli di rete associati ai meccanismi di gestione delle identità e dell'accesso controllabile e basata su criteri di un'organizzazione.This includes network controls that tie in with an organization’s policy-based, auditable identity and access management mechanisms.

La tecnologia di crittografia predefinita consente di crittografare le comunicazioni all'interno e tra distribuzioni, tra aree di Azure e da Azure ai data center locali.Built-in cryptographic technology enables you to encrypt communications within and between deployments, between Azure regions, and from Azure to on-premises datacenters. L'accesso di amministratore alle macchine virtuali con sessioni Desktop remoto, Windows PowerShell remoto e il portale di Azure è sempre crittografato.Administrator access to virtual machines through remote desktop sessions, remote Windows PowerShell, and the Azure portal is always encrypted.

Per estendere in modo sicuro il data center locale al cloud, Azure fornisce sia VPN da sito a sito che VPN da punto a sito, oltre a collegamenti dedicati con ExpressRoute (le connessioni alle reti virtuali di Azure su VPN vengono crittografate).To securely extend your on-premises datacenter to the cloud, Azure provides both site-to-site VPN and point-to-site VPN, plus dedicated links with ExpressRoute (connections to Azure Virtual Networks over VPN are encrypted).

Come Azure implementa l'accesso remoto sicuroHow Azure implements secure remote access

Le connessioni al portale di Azure devono essere sempre autenticate e richiedono SSL/TLS.Connections to the Azure portal must always be authenticated, and they require SSL/TLS. È possibile configurare certificati di gestione per abilitare la gestione sicura.You can configure management certificates to enable secure management. I protocolli di sicurezza standard del settore, ad esempio SSTP e IPsec sono completamente supportati.Industry-standard security protocols such as SSTP and IPsec are fully supported.

Azure ExpressRoute consente di creare connessioni private tra i data center di Azure e l'infrastruttura disponibile localmente o in un ambiente con percorso condiviso.Azure ExpressRoute lets you create private connections between Azure datacenters and infrastructure that’s on your premises or in a co-location environment. Le connessioni ExpressRoute non sfruttano la rete Internet pubblica.ExpressRoute connections do not go over the public Internet. Offrono più affidabilità, maggiore velocità, latenze più basse e maggiore sicurezza dei normali collegamenti basati su Internet.They offer more reliability, faster speeds, lower latencies, and higher security than typical Internet-based links. In alcuni casi, il trasferimento di dati tra dispositivi locali e Azure usando connessioni ExpressRoute può produrre vantaggi significativi in termini di costi.In some cases, transferring data between on-premises locations and Azure by using ExpressRoute connections can also yield significant cost benefits.

Registrazione e monitoraggioLogging and monitoring

Azure fornisce la registrazione autenticata degli eventi relativi alla sicurezza che generano un audit trail ed è progettato per resistere alle manomissioni.Azure provides authenticated logging of security-relevant events that generate an audit trail, and it is engineered to be resistant to tampering. Sono incluse le informazioni sul sistema, ad esempio i registri eventi di sicurezza nelle macchine virtuali dell'infrastruttura di Azure e in Azure AD.This includes system information, such as security event logs in Azure infrastructure virtual machines and Azure AD. Il monitoraggio degli eventi di sicurezza include la raccolta di eventi quali modifiche agli indirizzi IP del server DHCP o DNS, tentativi di accesso alle porte, protocolli o indirizzi IP bloccati da progettazione, modifiche ai criteri di sicurezza o alle impostazioni del firewall, creazione di account o gruppi e processi imprevisti o installazione di driver.Security event monitoring includes collecting events such as changes in DHCP or DNS server IP addresses; attempted access to ports, protocols, or IP addresses that are blocked by design; changes in security policy or firewall settings; account or group creation; and unexpected processes or driver installation.

Microsoft Antimalware in Azure

I log di controllo che registrano le attività e l'accesso utente con privilegi, i tentativi di accesso autorizzato e non autorizzato, le eccezioni di sistema e gli eventi di sicurezza delle informazioni vengono conservati per un periodo di tempo stabilito.Audit logs recording privileged user access and activities, authorized and unauthorized access attempts, system exceptions, and information security events are retained for a set period of time. Il periodo di conservazione dei log viene deciso dall'utente che configura la raccolta e la conservazione dei log in base a requisiti specifici.The retention of your logs is at your discretion because you configure log collection and retention to your own requirements.

Come Azure implementa la registrazione e il monitoraggioHow Azure implements logging and monitoring

Azure distribuisce agenti di gestione e agenti ASM (Azure Security Monitor) in ogni nodo di calcolo, di archiviazione o di infrastruttura sottoposto a gestione, nativo o virtuale.Azure deploys Management Agents (MA) and Azure Security Monitor (ASM) agents to each compute, storage, or fabric node under management whether they are native or virtual. Ogni agente di gestione è configurato per eseguire l'autenticazione a un account di archiviazione del team del servizio con un certificato ottenuto dall'archivio certificati di Azure e inoltrare i dati eventi e di diagnostica preconfigurati all'account di archiviazione.Each Management Agent is configured to authenticate to a service team storage account with a certificate obtained from the Azure certificate store and forward pre-configured diagnostic and event data to the storage account. Questi agenti non vengono distribuiti nelle macchine virtuali dei clienti.These agents are not deployed to customers’ virtual machines.

Gli amministratori di Azure accedono ai log da un portale Web per l'accesso autenticato e controllato ai log.Azure administrators access logs through a web portal for authenticated and controlled access to the logs. Un amministratore può analizzare, filtrare e correlare i log.An administrator can parse, filter, correlate, and analyze logs. Gli account di archiviazione del team dei servizi di Azure per i log sono protetti dall'accesso di amministratore diretto per impedire la manomissione dei log.The Azure service team storage accounts for logs are protected from direct administrator access to help prevent against log tampering.

Microsoft raccoglie i log dai dispositivi di rete con il protocollo Syslog e dai server host con Microsoft Audit Collection Services (ACS).Microsoft collects logs from network devices using the Syslog protocol, and from host servers using Microsoft Audit Collection Services (ACS). Questi log vengono inseriti in un database di log dal quale vengono generati avvisi relativi a eventi sospetti.These logs are placed into a log database from which alerts for suspicious events are generated. L'amministratore può accedere a questi log e analizzarli.The administrator can access and analyze these logs.

Diagnostica di Azure è una funzionalità che consente di raccogliere dati di diagnostica da un'applicazione in esecuzione in Azure.Azure Diagnostics is a feature of Azure that enables you to collect diagnostic data from an application running in Azure. Si tratta dei dati di diagnostica per il debug, la risoluzione dei problemi, la valutazione delle prestazioni, il monitoraggio dell'utilizzo delle risorse, l'analisi del traffico, la pianificazione della capacità e il controllo.This is diagnostic data for debugging and troubleshooting, measuring performance, monitoring resource usage, traffic analysis, capacity planning, and auditing. Una volta raccolti i dati di diagnostica, è possibile trasferirli in modo permanente in un account di archiviazione di Azure.After the diagnostic data is collected, it can be transferred to an Azure storage account for persistence. I trasferimenti possono essere pianificati o su richiesta.Transfers can either be scheduled or on demand.

Prevenzione delle minacceThreat mitigation

Oltre all'isolamento, alla crittografia e all'applicazione di filtri, Azure usa diversi meccanismi e processi di prevenzione delle minacce per proteggere l'infrastruttura e i servizi,In addition to isolation, encryption, and filtering, Azure employs a number of threat mitigation mechanisms and processes to protect infrastructure and services. tra cui controlli interni e tecnologie usate per rilevare e prevenire minacce avanzate, ad esempio DDoS, escalation dei privilegi e i 10 rischi principali identificati da OWASP.These include internal controls and technologies used to detect and remediate advanced threats such as DDoS, privilege escalation, and the OWASP Top-10.

I controlli di sicurezza e i processi di gestione dei rischi adottati da Microsoft per proteggere l'infrastruttura cloud riducono il rischio di eventi di sicurezza imprevisti.The security controls and risk management processes Microsoft has in place to secure its cloud infrastructure reduce the risk of security incidents. In caso di evento imprevisto, il team SIM (Security Incident Management), che fa parte del team Microsoft OSSC (Online Security Services and Compliance), è pronto a rispondere in qualsiasi momento.In the event an incident occurs, the Security Incident Management (SIM) team within the Microsoft Online Security Services and Compliance (OSSC) team is ready to respond at any time.

Come Azure implementa la prevenzione delle minacceHow Azure implements threat mitigation

Azure usa controlli di sicurezza per implementare la prevenzione delle minacce e per aiutare i clienti a prevenire le potenziali minacce nei propri ambienti.Azure has security controls in place to implement threat mitigation and also to help customers mitigate potential threats in their environments. L'elenco seguente riepiloga le funzionalità di prevenzione delle minacce offerte da Azure:The following list summarizes the threat mitigation capabilities offered by Azure:

  • Azure Antimalware è abilitato per impostazione predefinita in tutti i server dell'infrastruttura.Azure Antimalware is enabled by default on all infrastructure servers. Facoltativamente è possibile abilitarlo nelle macchine virtuali.You can optionally enable it within your own virtual machines.
  • Microsoft esegue un monitoraggio continuo nei server, nelle reti e nelle applicazioni per rilevare le minacce e prevenire gli exploit.Microsoft maintains continuous monitoring across servers, networks, and applications to detect threats and prevent exploits. Gli avvisi automatizzati notificano agli amministratori i comportamenti anomali, consentendo loro di applicare un'azione correttiva alle minacce sia interne che esterne.Automated alerts notify administrators of anomalous behaviors, allowing them to take corrective action on both internal and external threats.
  • È possibile distribuire le soluzioni di sicurezza di terze parti all'interno delle sottoscrizioni, ad esempio i Web application firewall di Barracuda.You can deploy third-party security solutions within your subscriptions, such as web application firewalls from Barracuda.
  • L'approccio di Microsoft al test di penetrazione include il "Red Team", costituito da professionisti della sicurezza Microsoft che attaccano sistemi di produzione attivi (non di clienti) in Azure per testare le difese contro minacce avanzate reali e persistenti.Microsoft’s approach to penetration testing includes “Red-Teaming,” which involves Microsoft security professionals attacking (non-customer) live production systems in Azure to test defenses against real-world, advanced, persistent threats.
  • Sistemi di distribuzione integrati gestiscono la distribuzione e l'installazione delle patch di sicurezza nella piattaforma Azure.Integrated deployment systems manage the distribution and installation of security patches across the Azure platform.

Passaggi successiviNext steps

Centro protezione di AzureAzure Trust Center

Blog del team di sicurezza di AzureAzure Security Team Blog

Microsoft Security Response CenterMicrosoft Security Response Center

Blog di Active DirectoryActive Directory Blog