Procedure consigliate per la sicurezza dei carichi di lavoro IaaS in AzureSecurity best practices for IaaS workloads in Azure

Alcune delle considerazioni necessarie per lo spostamento di carichi di lavoro nell'infrastruttura distribuita come servizio (IaaS) di Azure sono simili a quelle relative allaAs you started thinking about moving workloads to Azure infrastructure as a service (IaaS), you probably realized that some considerations are familiar. protezione degli ambienti virtuali.You might already have experience securing virtual environments. Nel passaggio all'infrastruttura IaaS di Azure è possibile applicare le competenze acquisite nella protezione degli ambienti virtuali e usare un nuovo set di opzioni per la protezione degli asset.When you move to Azure IaaS, you can apply your expertise in securing virtual environments and use a new set of options to help secure your assets.

Prima di tutto, occorre precisare che le risorse locali non verranno trasferite con una corrispondenza uno-a-uno in Azure.Let's start by saying that we should not expect to bring on-premises resources as one-to-one to Azure. Le nuove sfide e le nuove opzioni offrono l'opportunità di rivalutare i progetti, gli strumenti e i processi esistenti.The new challenges and the new options bring an opportunity to reevaluate existing deigns, tools, and processes.

Le responsabilità di sicurezza dell'utente dipendono dal tipo di servizio cloud.Your responsibility for security is based on the type of cloud service. Il grafico seguente mostra un riepilogo delle responsabilità di Microsoft e dell'utente:The following chart summarizes the balance of responsibility for both Microsoft and you:

Aree di responsabilità

Questo articolo illustra alcune delle opzioni disponibili in Azure che permettono di rispondere ai requisiti di sicurezza dell'organizzazione.We'll discuss some of the options available in Azure that can help you meet your organization’s security requirements. I requisiti di sicurezza possono variare in base al tipo di carico di lavoro.Keep in mind that security requirements can vary for different types of workloads. Nessuna di queste procedure consigliate è di per sé sufficiente a proteggere i sistemi.Not one of these best practices can by itself secure your systems. Nel campo della sicurezza, è più che mai necessario scegliere le opzioni appropriate e fare in modo che le varie soluzioni si completino a vicenda.Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

Usare workstation con accesso con privilegiUse Privileged Access Workstations

Le organizzazioni sono spesso vittima di attacchi informatici perché gli amministratori eseguono azioni mentre usano account con diritti elevati.Organizations often fall prey to cyberattacks because administrators perform actions while using accounts with elevated rights. Questo avviene di solito in modo non intenzionale, ma perché la configurazione e i processi esistenti lo consentono.Usually this isn’t done maliciously but because existing configuration and processes allow it. La maggior parte degli utenti conosce a livello concettuale i rischi legati a tali azioni, ma sceglie comunque di eseguirle.Most of these users understand the risk of these actions from a conceptual standpoint but still choose to do them.

Controllare la posta elettronica e navigare in Internet possono sembrare operazioni innocue,Doing things like checking email and browsing the Internet seem innocent enough. Ma potrebbe esporre gli account con privilegi elevati alla compromissione da parte di malintenzionati.But they might expose elevated accounts to compromise by malicious actors. Attività di esplorazione, messaggi di posta elettronica creati appositamente o altre tecniche possono essere utilizzate per ottenere l'accesso all'azienda.Browsing activities, specially crafted emails, or other techniques can be used to gain access to your enterprise. Per eseguire tutte le attività di amministrazione di Azure è consigliabile usare workstation di gestione sicure (SAW).We highly recommend the use of secure management workstations (SAWs) for conducting all Azure administration tasks. Le workstation di gestione sicure rappresentano un modo per ridurre l'esposizione a danni accidentali.SAWs are a way of reducing exposure to accidental compromise.

Per le attività sensibili, le workstation con accesso con privilegi offrono un sistema operativo dedicato, protetto dagli attacchi provenienti da Internet e dai vettori di minacce.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks--one that is protected from Internet attacks and threat vectors. Separando queste attività e account sensibili dalle workstation e i dispositivi di uso giornaliero si ottiene una protezione avanzata.Separating these sensitive tasks and accounts from the daily-use workstations and devices provides strong protection. Questa separazione consente di limitare l'impatto di attacchi di phishing, le vulnerabilità di applicazioni e sistema operativo, vari attacchi di rappresentazione e attacchi con furto di credenziali.This separation limits the impact of phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks. (registrazione delle digitazioni e Pass-the-Hash e Pass-the-Ticket)(keystroke logging, Pass-the-Hash, and Pass-the-Ticket)

L'uso di workstation dotate di accesso con privilegi rappresenta un'estensione della procedura consigliata e ampiamente diffusa di adottare un account amministrativo.The PAW approach is an extension of the well-established and recommended practice to use an individually assigned administrative account. L'account amministrativo è separato da un account utente standard.The administrative account is separate from a standard user account. Una workstation dotata di accesso con privilegi offre un ambiente affidabile per gli account sensibili.A PAW provides a trustworthy workstation for those sensitive accounts.

Per altre informazioni e istruzioni sull'implementazione, vedere Workstation con accesso con privilegi.For more information and implementation guidance, see Privileged Access Workstations.

Usare Multi-Factor AuthenticationUse Multi-Factor Authentication

In passato il perimetro della rete era usato per controllare l'accesso ai dati aziendali.In the past, your network perimeter was used to control access to corporate data. In un mondo dominato dai dispositivi mobili e basato sul cloud l'identità deve essere il piano di controllo per l'accesso a servizi IaaS da qualsiasi dispositivo.In a cloud-first, mobile-first world, identity is the control plane: You use it to control access to IaaS services from any device. L'identità permette anche di ottenere visibilità e informazioni dettagliate sulla posizione e la modalità d'uso dei dati.You also use it to get visibility and insight into where and how your data is being used. Proteggere l'identità digitale degli utenti di Azure è la cosa fondamentale per difendere le sottoscrizioni dal furto delle identità e da altri crimini informatici.Protecting the digital identity of your Azure users is the cornerstone of protecting your subscriptions from identity theft and other cybercrimes.

Una delle cose più utili da fare per proteggere un account è abilitare l'autenticazione a due fattori.One of the most beneficial steps that you can take to secure an account is to enable two-factor authentication. Questo un metodo di autenticazione che non si limita all'uso di una password,Two-factor authentication is a way of authenticating by using something in addition to a password. ma permette di ridurre il rischio di accesso da parte di un utente che si sia impossessato della password di qualcun altro.It helps mitigate the risk of access by someone who manages to get someone else’s password.

Azure Multi-Factor Authentication permette di proteggere l'accesso ai dati e alle applicazioni, garantendo al tempo stesso agli utenti una procedura di accesso semplice.Azure Multi-Factor Authentication helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Offre un'autenticazione avanzata con una gamma di semplici opzioni di verifica, ad esempio una telefonata, un SMS o una notifica dell'app per dispositivi mobili.It delivers strong authentication with a range of easy verification options--phone call, text message, or mobile app notification. Gli utenti possono scegliere il metodo preferito.Users choose the method that they prefer.

Il mezzo più semplice per usare Multi-Factor Authentication è l'app per dispositivi mobili Microsoft Authenticator, disponibile per i dispositivi mobili che eseguono Windows, iOS e Android.The easiest way to use Multi-Factor Authentication is the Microsoft Authenticator mobile app that can be used on mobile devices running Windows, iOS, and Android. Con la versione più recente di Windows 10 e l'integrazione dell'istanza locale di Active Directory con Azure Active Directory, è possibile usare Windows Hello for Business per semplificare l'accesso Single Sign-On alle risorse di Azure.With the latest release of Windows 10 and the integration of on-premises Active Directory with Azure Active Directory (Azure AD), Windows Hello for Business can be used for seamless single sign-on to Azure resources. In tal caso il dispositivo Windows 10 viene usato come secondo fattore di autenticazione.In this case, the Windows 10 device is used as the second factor for authentication.

Per gli account che gestiscono la sottoscrizione di Azure e quelli che possono accedere a macchine virtuali, Multi-Factor Authentication offre un livello di sicurezza molto maggiore rispetto all'uso della sola password.For accounts that manage your Azure subscription and for accounts that can sign in to virtual machines, using Multi-Factor Authentication gives you a much greater level of security than using only a password. Altre forme di autenticazione a due fattori possono essere altrettanto efficaci, ma più complesse da distribuire se non sono già nell'ambiente di produzione.Other forms of two-factor authentication might work just as well, but deploying them might be complicated if they're not already in production.

Lo screenshot seguente mostra alcune delle opzioni disponibili per Azure Multi-Factor Authentication:The following screenshot shows some of the options available for Azure Multi-Factor Authentication:

Opzioni di Multi-Factor Authentication

Limitare e vincolare l'accesso amministrativoLimit and constrain administrative access

Proteggere gli account che gestiscono la sottoscrizione di Azure è estremamente importante.Securing the accounts that can manage your Azure subscription is extremely important. La compromissione di uno di questi account vanifica qualsiasi azione intrapresa per garantire la riservatezza e l'integrità dei dati.The compromise of any of those accounts negates the value of all the other steps that you might take to ensure the confidentiality and integrity of your data. Come dimostra il caso di Edward Snowden, gli attacchi sferrati dall'interno rappresentano una minaccia notevole per la sicurezza di qualunque organizzazione.As recently illustrated by the Edward Snowden internal attacks pose a huge threat to the overall security of any organization.

Per valutare i singoli utenti a cui concedere diritti amministrativi, seguire criteri simili a questi:Evaluate individuals for administrative rights by following criteria similar to these:

  • Eseguono attività che richiedono privilegi amministrativi?Are they performing tasks that require administrative privileges?
  • Con quale frequenza vengono eseguite queste attività?How often are the tasks performed?
  • C'è un motivo specifico per cui le attività non possono essere eseguite da un altro amministratore?Is there a specific reason why the tasks cannot be performed by another administrator on their behalf?

Perché non sono accettabili gli approcci alternativi documentati per la concessione dei privilegi?Document all other known alternative approaches to granting the privilege and why each isn't acceptable.

Il ricorso all'amministrazione JIT evita di avere account con diritti elevati nei periodi in cui tali diritti non sono necessari.The use of just-in-time administration prevents the unnecessary existence of accounts with elevated rights during periods when those rights are not needed. Gli account hanno diritti elevati per un periodo di tempo limitato, per permettere agli amministratori di svolgere il proprio lavoro.Accounts have elevated rights for a limited time so that administrators can do their jobs. Tali diritti vengono poi rimossi alla fine di un turno o al termine di un'attività.Then, those rights are removed at the end of a shift or when a task is completed.

È possibile usare Privileged Identity Management per gestire, monitorare e controllare l'accesso all'interno dell'organizzazione.You can use Privileged Identity Management to manage, monitor, and control access in your organization. Questa tecnologia permette di tenere sotto controllo le azioni intraprese dai singoli utenti nell'organizzazioneIt helps you remain aware of the actions that individuals take in your organization. e introduce l'amministrazione JIT in Azure AD attraverso il concetto di amministratori idonei.It also brings just-in-time administration to Azure AD by introducing the concept of eligible admins. Gli amministratori idonei sono persone che dispongono di account ai quali possono essere concessi diritti di amministratore.These are individuals who have accounts with the potential to be granted admin rights. Gli utenti di questo tipo possono essere sottoposti a un processo di attivazione e vedersi concedere diritti amministrativi per un periodo di tempo limitato.These types of users can go through an activation process and be granted admin rights for a limited time.

Usare DevTest LabsUse DevTest Labs

L'uso di Azure negli ambienti lab e di sviluppo offre alle organizzazioni una maggiore agilità a livello di sviluppo e testing, grazie all'eliminazione dei ritardi dovuti all'approvvigionamento dell'hardware.Using Azure for labs and development environments enables organizations to gain agility in testing and development by taking away the delays that hardware procurement introduces. Sfortunatamente, la mancanza di esperienza o il desiderio di accelerarne l'adozione può portare un amministratore a un'eccessiva permissività nell'assegnazione dei diritti.Unfortunately, a lack of familiarity with Azure or a desire to help expedite its adoption might lead the administrator to be overly permissive with rights assignment. Tale rischio può esporre involontariamente l'organizzazione ad attacchi interni,This risk might unintentionally expose the organization to internal attacks. perché alcuni utenti potrebbero vedersi concedere un accesso molto più avanzato del necessario.Some users might be granted a lot more access than they should have.

Il servizio Azure DevTest Labs fa uso del controllo degli accessi in base al ruolo di Azure,The Azure DevTest Labs service uses Azure Role-Based Access Control (RBAC). che permette di organizzare i compiti all'interno del team in ruoli, che concedono solo il livello di accesso necessario agli utenti per svolgere il proprio lavoro.By using RBAC, you can segregate duties within your team into roles that grant only the level of access necessary for users to do their jobs. Il controllo degli accessi in base al ruolo prevede i ruoli predefiniti di proprietario, utente lab e collaboratore,RBAC comes with predefined roles (owner, lab user, and contributor). che possono anche essere usati per assegnare diritti a partner esterni e semplificare notevolmente la collaborazione.You can even use these roles to assign rights to external partners and greatly simplify collaboration.

L'uso del controllo degli accessi in base al ruolo in DevTest Labs permette di creare ruoli personalizzati aggiuntivi.Because DevTest Labs uses RBAC, it's possible to create additional, custom roles. DevTest Labs non si limita a semplificare la gestione delle autorizzazioni, ma semplifica anche il processo di provisioning degli ambientiDevTest Labs not only simplifies the management of permissions, it simplifies the process of getting environments provisioned. e permette di gestire altre problematiche tipiche dei team che operano in ambienti di sviluppo e test.It also helps you deal with other typical challenges of teams that are working on development and test environments. Richiede un po' di preparazione, ma con il tempo permette di semplificare il lavoro del team.It requires some preparation, but in the long term, it will make things easier for your team.

Le funzionalità di Azure DevTest Labs includono:Azure DevTest Labs features include:

  • Controllo amministrativo sulle opzioni disponibili per gli utentiAdministrative control over the options available to users. Questo consente all'amministratore una gestione centralizzata di alcuni aspetti relativi alle macchine virtuali, come le dimensioni consentite, il numero massimo e gli orari di avvio e arresto.The administrator can centrally manage things like allowed VM sizes, maximum number of VMs, and when VMs are started and shut down.
  • Automazione della creazione dell'ambiente lab.Automation of lab environment creation.
  • Verifica dei costi.Cost tracking.
  • Distribuzione semplificata di macchine virtuali per attività di collaborazione temporanee.Simplified distribution of VMs for temporary collaborative work.
  • Funzionalità self-service che consente agli utenti di effettuare il provisioning dei lab tramite modelli.Self-service that enables users to provision their labs by using templates.
  • Gestione e limitazione dell'utilizzo.Managing and limiting consumption.

Uso di DevTest Labs per creare un lab

L'uso di DevTest Labs è disponibile senza costi aggiuntivi.No additional cost is associated with the usage of DevTest Labs. La creazione di lab, criteri, modelli ed elementi è gratuita.The creation of labs, policies, templates, and artifacts is free. Si pagano solo le risorse di Azure usate nei lab, come le macchine virtuali, gli account di archiviazione e le reti virtuali.You pay for only the Azure resources used in your labs, such as virtual machines, storage accounts, and virtual networks.

Controllare e limitare l'accesso agli endpointControl and limit endpoint access

Per poter eseguire l'hosting di lab o sistemi di produzione in Azure, i sistemi devono essere accessibili da Internet.Hosting labs or production systems in Azure means that your systems need to be accessible from the Internet. Per impostazione predefinita, nelle nuove macchine virtuali Windows la porta RDP è accessibile da Internet, mentre nelle macchine virtuali Linux la porta SSH è aperta.By default, a new Windows virtual machine has the RDP port accessible from the Internet, and a Linux virtual machine has the SSH port open. Per ridurre al minimo il rischio di accesso non autorizzato, è necessario provvedere a limitare gli endpoint esposti.Taking steps to limit exposed endpoints is necessary to minimize the risk of unauthorized access.

Le tecnologie di Azure consentono di limitare l'accesso agli endpoint amministrativi.Technologies in Azure can help you limit the access to those administrative endpoints. Ad esempio, è possibile usare i gruppi di sicurezza di rete.In Azure, you can use network security groups (NSGs). Quando si usa Azure Resource Manager per la distribuzione, i gruppi di sicurezza di rete limitano l'accesso da tutte le reti ai soli endpoint di gestione, RDP o SSH.When you use Azure Resource Manager for deployment, NSGs limit the access from all networks to just the management endpoints (RDP or SSH). Gli NSG sono un po' l'equivalente degli ACL dei router.When you think NSGs, think router ACLs. È possibile usarli per controllare rigorosamente la comunicazione di rete tra i vari segmenti delle reti di Azure,You can use them to tightly control the network communication between various segments of your Azure networks. con risultati analoghi a quelli della creazione di reti perimetrali o altre reti isolate.This is similar to creating networks in perimeter networks or other isolated networks. I gruppi di sicurezza di rete non controllano il traffico, ma contribuiscono alla segmentazione della rete.They do not inspect the traffic, but they do help with network segmentation.

In Azure è possibile configurare una VPN da sito a sito dalla rete locale.In Azure, you can configure a site-to-site VPN from your on-premises network. Una VPN da sito a sito consente di estendere la rete locale al cloud,A site-to-site VPN extends your on-premises network to the cloud. offrendo una ulteriore opportunità di usare i gruppi di sicurezza di rete. È infatti possibile modificare il gruppo di sicurezza di rete per non consentire l'accesso se non dalla rete locale.This gives you another opportunity to use NSGs, because you can also modify the NSGs to not allow access from anywhere other than the local network. È quindi possibile fare in modo che l'amministrazione avvenga eseguendo prima la connessione alla rete di Azure tramite VPN.You can then require that administration is done by first connecting to the Azure network via VPN.

L'opzione VPN da sito a sito può risultare più interessante quando si ospitano sistemi di produzione strettamente integrati con le risorse locali in Azure.The site-to-site VPN option might be most attractive in cases where you are hosting production systems that are closely integrated with your on-premises resources in Azure.

In alternativa, è possibile usare l'opzione da punto a sito per la gestione di sistemi che non richiedono l'accesso alle risorse localiAlternatively, you can use the point-to-site option in situations where you want to manage systems that don't need access to on-premises resources. e che possono essere isolati nella relativa rete virtuale di Azure.Those systems can be isolated in their own Azure virtual network. Dalla workstation amministrativa gli amministratori possono connettersi tramite VPN all'ambiente ospitato in Azure.Administrators can VPN into the Azure hosted environment from their administrative workstation.

Nota

Entrambe le opzioni VPN permettono di riconfigurare gli elenchi ACL nei gruppi di sicurezza di rete in modo da non consentire l'accesso da Internet agli endpoint di gestione.You can use either VPN option to reconfigure the ACLs on the NSGs to not allow access to management endpoints from the Internet.

Un'altra opzione che vale la pena considerare è la distribuzione di un Gateway Desktop remoto,Another option worth considering is a Remote Desktop Gateway deployment. utile per connettersi ai server desktop remoto in modo sicuro tramite HTTPS, applicando controlli più dettagliati alle connessioni.You can use this deployment to securely connect to Remote Desktop servers over HTTPS, while applying more detailed controls to those connections.

Le funzionalità disponibili includono:Features that you would have access to include:

  • Opzioni di amministrazione per limitare le connessioni alle richieste provenienti da sistemi specificiAdministrator options to limit connections to requests from specific systems.
  • Autenticazione tramite smart card o Azure Multi-Factor Authentication.Smart-card authentication or Azure Multi-Factor Authentication.
  • Possibilità di stabilire a quali sistemi sia possibile connettersi tramite il gatewayControl over which systems someone can connect to via the gateway.
  • Possibilità di controllare il reindirizzamento a dischi e dispositiviControl over device and disk redirection.

Usare una soluzione di gestione delle chiaviUse a key management solution

La gestione sicura delle chiavi è fondamentale per proteggere i dati nel cloud.Secure key management is essential to protecting data in the cloud. Con l'insieme di credenziali delle chiavi di Azure, è possibile archiviare in tutta sicurezza le chiavi di crittografia e altri dati segreti, come le password, all'interno di moduli di protezione hardware.With Azure Key Vault, you can securely store encryption keys and small secrets like passwords in hardware security modules (HSMs). Per una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware.For added assurance, you can import or generate keys in HSMs.

Microsoft elabora le chiavi in moduli di protezione hardware FIPS 140-2 di livello 2 convalidati (hardware e firmware).Microsoft processes your keys in FIPS 140-2 Level 2 validated HSMs (hardware and firmware). È possibile monitorare e controllare l'uso delle chiavi con la registrazione di Azure, inviando i log ad Azure o alla propria soluzione SIEM (Security Information and Event Management) per ulteriori analisi e rilevamento delle minacce.Monitor and audit key use with Azure logging: pipe logs into Azure or your Security Information and Event Management (SIEM) system for additional analysis and threat detection.

Chiunque abbia una sottoscrizione di Azure può creare e usare insiemi di credenziali delle chiavi.Anyone with an Azure subscription can create and use key vaults. Anche se rappresenta un vantaggio per sviluppatori e amministratori della sicurezza, Key Vault può essere implementato e gestito da un amministratore responsabile della gestione dei servizi di Azure per un'organizzazione.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an administrator who is responsible for managing Azure services in an organization.

Crittografare i dischi virtuali e l'archiviazione su discoEncrypt virtual disks and disk storage

Crittografia dischi di Azure protegge dai rischi di furto dei dati o esposizione da accesso non autorizzato attraverso lo spostamento di un disco,Azure Disk Encryption addresses the threat of data theft or exposure from unauthorized access that's achieved by moving a disk. che potrebbe essere collegato a un altro sistema per aggirare altri controlli di sicurezza.The disk can be attached to another system as a way of bypassing other security controls. La crittografia del disco usa BitLocker in Windows e DM-Crypt in Linux per crittografare il sistema operativo e le unità dati.Disk encryption uses BitLocker in Windows and DM-Crypt in Linux to encrypt operating system and data drives. Crittografia dischi di Azure si integra con Key Vault per consentire il controllo e la gestione delle chiavi di crittografia.Azure Disk Encryption integrates with Key Vault to control and manage the encryption keys. È disponibile per le macchine virtuali Standard e le macchine virtuali con Archiviazione Premium.It's available for standard VMs and VMs with premium storage.

Per altre informazioni, vedere Crittografia dischi di Azure per macchine virtuali IaaS Windows e Linux.For more information, see Azure Disk Encryption in Windows and Linux IaaS VMs.

La crittografia del servizio di archiviazione di Azure permette di protegge i dati inattivi.Azure Storage Service Encryption helps protect your data at rest. È abilitata a livello dell'account di ArchiviazioneIt's enabled at the storage account level. e permette di crittografare i dati man mano che vengono scritti nel data center, per poi decrittografarli automaticamente quando vi si accede.It encrypts data as it's written in our datacenters, and it's automatically decrypted as you access it. Supporta gli scenari seguenti:It supports the following scenarios:

  • Crittografia di BLOB in blocchi, BLOB di aggiunta e BLOB di pagine.Encryption of block blobs, append blobs, and page blobs
  • Crittografia di dischi rigidi virtuali archiviati e modelli trasferiti in Azure da posizioni locali.Encryption of archived VHDs and templates brought to Azure from on-premises
  • Crittografia del sistema operativo sottostante e dei dischi dati per macchine virtuali IaaS create usando i dischi rigidi virtuali.Encryption of underlying OS and data disks for IaaS VMs that you created by using your VHDs

Prima di procedere con la crittografia del servizio di archiviazione di Azure, occorre tenere presenti due limitazioni:Before you proceed with Azure Storage Encryption, be aware of two limitations:

  • non è disponibile per gli account di archiviazione classici;It is not available on classic storage accounts.
  • permette di crittografare solo i dati scritti dopo aver abilitato la crittografia.It encrypts only data written after encryption is enabled.

Usare un sistema di gestione della sicurezza centralizzatoUse a centralized security management system

I server devono essere monitorati per tenere sotto controllo l'applicazione di patch, la configurazione, gli eventi e le attività potenzialmente problematiche per la sicurezza.Your servers need to be monitored for patching, configuration, events, and activities that might be considered security concerns. A tale scopo, è possibile usare il Centro sicurezza e Operations Management Suite Security & Compliance.To address those concerns, you can use Security Center and Operations Management Suite Security and Compliance. Entrambe queste opzioni non si limitano alla configurazione del sistema operativo,Both of these options go beyond the configuration in the operating system. ma consentono anche di monitorare la configurazione dell'infrastruttura sottostante, come la configurazione di rete e l'uso di appliance virtuali.They also provide monitoring of the configuration of the underlying infrastructure, like network configuration and virtual appliance use.

Gestire i sistemi operativiManage operating systems

Come per qualunque altro server o workstation dell'ambiente usato, in una distribuzione IaaS l'utente rimane responsabile della gestione dei sistemi distribuiti.In an IaaS deployment, you are still responsible for the management of the systems that you deploy, just like any other server or workstation in your environment. L'applicazione di patch, la protezione avanzata, l'assegnazione di diritti e qualsiasi altra attività correlata alla manutenzione del sistema rimangono responsabilità dell'utente.Patching, hardening, rights assignments, and any other activity related to the maintenance of your system are still your responsibility. Per i sistemi strettamente integrati con le risorse locali, può essere utile usare gli stessi strumenti e procedure adottati a livello locale per gli antivirus, gli antimalware, l'applicazione di patch e i backup.For systems that are tightly integrated with your on-premises resources, you might want to use the same tools and procedures that you're using on-premises for things like antivirus, antimalware, patching, and backup.

Implementare la protezione avanzata dei sistemiHarden systems

La protezione avanzata deve essere implementata in tutte le macchine virtuali nell'infrastruttura IaaS di Azure, in modo da esporre solo gli endpoint di servizio necessari per le applicazioni installate.All virtual machines in Azure IaaS should be hardened so that they expose only service endpoints that are required for the applications that are installed. Per le macchine virtuali Windows, seguire le raccomandazioni pubblicate da Microsoft per la soluzione Security Compliance Manager.For Windows virtual machines, follow the recommendations that Microsoft publishes as baselines for the Security Compliance Manager solution.

Security Compliance Manager è uno strumento gratuitoSecurity Compliance Manager is a free tool. che consente di configurare e gestire rapidamente desktop, data center tradizionali e cloud pubblici e privati tramite criteri di gruppo e System Center Configuration Manager.You can use it to quickly configure and manage your desktops, traditional datacenter, and private and public cloud by using Group Policy and System Center Configuration Manager.

Security Compliance Manager offre criteri pronti per la distribuzione e pacchetti di configurazione di Gestione configurazione desiderata già testati.Security Compliance Manager provides ready-to-deploy policies and Desired Configuration Management configuration packs that are tested. Queste baseline si basano sulle linee guida Microsoft sulla sicurezza e le procedure consigliate del settoreThese baselines are based on Microsoft Security Guidance recommendations and industry best practices. e permettono di gestire eventuali deviazioni della configurazione, rispondere ai requisiti di conformità e ridurre le minacce per la sicurezza.They help you manage configuration drift, address compliance requirements, and reduce security threats.

È possibile usare Security Compliance Manager per importare la configurazione corrente dei computer con due metodi diversi.You can use Security Compliance Manager to import the current configuration of your computers by using two different methods. Il primo consiste nell'importare criteri di gruppo basati su Active Directory.First, you can import Active Directory-based group policies. Il secondo consiste nell'importare la configurazione di un computer di riferimento "golden master" usando lo strumento LocalGPO per eseguire il backup dei criteri di gruppo locali.Second, you can import the configuration of a “golden master” reference machine by using the LocalGPO tool to back up the local group policy. È quindi possibile importare i criteri di gruppo locali in Security Compliance Manager.You can then import the local group policy into Security Compliance Manager.

Confrontare gli standard applicati alle procedure consigliate del settore, personalizzarli e creare nuovi criteri e pacchetti di configurazione di Gestione configurazione desiderata.Compare your standards to industry best practices, customize them, and create new policies and Desired Configuration Management configuration packs. Le linee di base sono state pubblicate per tutti i sistemi operativi supportati, tra cui l'Aggiornamento dell'anniversario di Windows 10 e Windows Server 2016.Baselines have been published for all supported operating systems, including Windows 10 Anniversary Update and Windows Server 2016.

Installare e gestire l'antimalwareInstall and manage antimalware

Per gli ambienti ospitati separatamente dall'ambiente di produzione, è possibile usare un'estensione antimalware per la protezione delle macchine virtuali e dei servizi cloudFor environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your virtual machines and cloud services. che si integra con il Centro sicurezza di Azure.It integrates with Azure Security Center.

Microsoft Antimalware include caratteristiche come la protezione in tempo reale, l'analisi pianificata, il monitoraggio e aggiornamento malware, l'aggiornamento delle firme e del motore, il reporting di campioni, la raccolta degli eventi di esclusione e il supporto della PowerShell.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, exclusion event collection, and PowerShell support.

Antimalware Azure

Installare gli aggiornamenti della sicurezza più recentiInstall the latest security updates

I lab e i sistemi esterni sono tra i primi carichi di lavoro che i clienti spostano in Azure.Some of the first workloads that customers move to Azure are labs and external-facing systems. Se le macchine virtuali di Azure ospitano applicazioni o servizi che devono essere accessibili da Internet, è importante fare attenzione all'applicazione di patch.If your Azure-hosted virtual machines host applications or services that need to be accessible to the Internet, be vigilant about patching. Non limitarsi all'applicazione di patch relative al sistema operativo.Patch beyond the operating system. Anche le vulnerabilità senza patch delle applicazioni di terze parti possono causare problemi facilmente evitabili con una buona gestione delle patch.Unpatched vulnerabilities on third-party applications can also lead to problems that can be avoided if good patch management is in place.

Distribuire e testare una soluzione di backupDeploy and test a backup solution

Esattamente come gli aggiornamenti della sicurezza, anche il backup deve essere gestito come qualsiasi altra operazione,Just like security updates, a backup needs to be handled the same way that you handle any other operation. anche per quanto riguarda i sistemi dell'ambiente di produzione che si estendono al cloud.This is true of systems that are part of your production environment extending to the cloud. I sistemi di sviluppo e test devono seguire strategie di backup con funzionalità di ripristino simili a quelle che gli utenti degli ambienti locali sono ormai abituati a usare.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments.

Se possibile, i carichi di lavoro di produzione spostati in Azure devono integrarsi con le soluzioni di backup esistenti.Production workloads moved to Azure should integrate with existing backup solutions when possible. In alternativa, per le esigenze di backup è possibile usare Backup di Azure.Or, you can use Azure Backup to help address your backup requirements.

MonitorareMonitor

Il Centro sicurezza analizza in modo continuo lo stato di protezione delle risorse di Azure per identificare le potenziali vulnerabilità di sicurezza.Security Center provides ongoing evaluation of the security state of your Azure resources to identify potential security vulnerabilities. Un elenco di suggerimenti illustra in dettaglio il processo di configurazione dei controlli necessari.A list of recommendations guides you through the process of configuring needed controls.

Tra gli esempi sono inclusi:Examples include:

  • Provisioning di antimalware per identificare e rimuovere il software dannoso.Provisioning antimalware to help identify and remove malicious software.
  • Configurazione dei gruppi di sicurezza di rete e delle regole per controllare il traffico verso le macchine virtuali.Configuring network security groups and rules to control traffic to virtual machines.
  • Provisioning di Web application firewall per la difesa da attacchi diretti alle applicazioni Web.Provisioning web application firewalls to help defend against attacks that target your web applications.
  • Distribuzione di aggiornamenti di sistema mancanti.Deploying missing system updates.
  • Risoluzione delle configurazioni del sistema operativo che non corrispondono alle baseline consigliate.Addressing OS configurations that do not match the recommended baselines.

L'immagine seguente mostra alcune delle opzioni che è possibile abilitare nel Centro sicurezza.The following image shows some of the options that you can enable in Security Center.

Criteri del Centro sicurezza di Azure

Operations Management Suite è una soluzione Microsoft per la gestione IT basata sul cloud che consente di gestire e proteggere l'infrastruttura locale e cloud.Operations Management Suite is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Dato che viene implementato come servizio basato sul cloud, Operations Management Suite può essere distribuito rapidamente e con un investimento minimo in termini di risorse dell'infrastruttura.Because Operations Management Suite is implemented as a cloud-based service, it can be deployed quickly and with minimal investment in infrastructure resources.

Le nuove funzionalità sono disponibili automaticamente, evitando così i costi di manutenzione e aggiornamento continui.New features are delivered automatically, saving you from ongoing maintenance and upgrade costs. Operations Management Suite si integra anche con System Center Operations Manager.Operations Management Suite also integrates with System Center Operations Manager. Include diversi componenti che migliorano la gestione dei carichi di lavoro di Azure, tra cui il modulo Sicurezza e conformità.It has different components to help you better manage your Azure workloads, including a Security and Compliance module.

È possibile usare le funzionalità di sicurezza e conformità in Operations Management Suite per visualizzare informazioni sulle risorse,You can use the security and compliance features in Operations Management Suite to view information about your resources. organizzate in quattro categorie principali:The information is organized into four major categories:

  • Domini di sicurezza. Permette di esplorare ulteriormente i record di sicurezza nel tempo.Security domains: Further explore security records over time. Permette di accedere alla valutazione antimalware, alla valutazione degli aggiornamenti, a informazioni sulla sicurezza di rete, a informazioni su identità e accessi e ai computer che generano eventi di sicurezza.Access malware assessment, update assessment, network security information, identity and access information, and computers with security events. Consente un accesso rapido al dashboard del Centro sicurezza di Azure.Take advantage of quick access to the Azure Security Center dashboard.
  • Errori rilevanti. Permette di identificare rapidamente il numero di problemi attivi e la relativa gravità.Notable issues: Quickly identify the number of active issues and the severity of these issues.
  • Rilevamenti (anteprima). Permette di identificare i modelli di attacco visualizzando gli avvisi di sicurezza relativi alle risorse non appena vengono generati.Detections (preview): Identify attack patterns by visualizing security alerts as they happen against your resources.
  • Intelligence per le minacce. Permette di identificare i modelli di attacco visualizzando il numero totale di server con traffico IP dannoso in uscita, il tipo di minaccia e una mappa che mostra la provenienza di tali indirizzi IP.Threat intelligence: Identify attack patterns by visualizing the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map that shows where these IPs are coming from.
  • Query comuni sulla sicurezza. Permette di visualizzare un elenco delle query più comuni sulla sicurezza che è possibile usare per monitorare l'ambiente.Common security queries: See a list of the most common security queries that you can use to monitor your environment. Facendo clic su una query, viene visualizzato il pannello Ricerca con i risultati della query.When you click one of those queries, the Search blade opens and shows the results for that query.

Lo screenshot seguente mostra un esempio delle informazioni visualizzate in Operations Management Suite.The following screenshot shows an example of the information that Operations Management Suite can display.

Baseline della sicurezza di Operations Management Suite

Passaggi successiviNext steps