Gestione della sicurezza in AzureSecurity management in Azure

I sottoscrittori di Azure possono gestire i propri ambienti cloud da più dispositivi, tra cui workstation di gestione, PC per sviluppatori e dispositivi di utenti finali con privilegi elevati con autorizzazioni specifiche per le attività.Azure subscribers may manage their cloud environments from multiple devices, including management workstations, developer PCs, and even privileged end-user devices that have task-specific permissions. In alcuni casi le funzioni amministrative vengono eseguite tramite console basate sul Web, ad esempio il portale di Azure.In some cases, administrative functions are performed through web-based consoles such as the Azure portal. In altri casi è possibile che vengano usate connessioni dirette ad Azure da sistemi locali su reti private virtuali (VPN), Servizi terminal, protocolli applicativi client oppure, a livello di codice, l'API Gestione dei servizi di Azure (SMAPI).In other cases, there may be direct connections to Azure from on-premises systems over Virtual Private Networks (VPNs), Terminal Services, client application protocols, or (programmatically) the Azure Service Management API (SMAPI). Gli endpoint client possono essere inoltre aggiunti a un dominio o isolati e non gestiti, ad esempio tablet o smartphone.Additionally, client endpoints can be either domain joined or isolated and unmanaged, such as tablets or smartphones.

Anche se le funzionalità multiple di accesso e gestione offrono una vasta gamma di opzioni, questa variabilità può aggiungere rischi significativi a una distribuzione cloud,Although multiple access and management capabilities provide a rich set of options, this variability can add significant risk to a cloud deployment. complicando la gestione, la verifica e il controllo delle azioni amministrative.It can be difficult to manage, track, and audit administrative actions. Questa variabilità potrebbe introdurre anche minacce alla sicurezza tramite accesso non regolamentato agli endpoint client usati per la gestione dei servizi cloud.This variability may also introduce security threats through unregulated access to client endpoints that are used for managing cloud services. L'uso di workstation generiche o personali per lo sviluppo e la gestione dell'infrastruttura genera vettori di minaccia imprevedibili, come l'esplorazione del Web (ad esempio attacchi di tipo watering hole) o la posta elettronica (ad esempio "ingegneria sociale" e phishing).Using general or personal workstations for developing and managing infrastructure opens unpredictable threat vectors such as web browsing (for example, watering hole attacks) or email (for example, social engineering and phishing).

Il rischio di attacco aumenta in questo tipo di ambiente perché risulta difficile creare criteri e meccanismi di sicurezza per la gestione appropriata dell'accesso alle interfacce di Azure, ad esempio SMAPI, da endpoint molto diversi.The potential for attacks increases in this type of environment because it is challenging to construct security policies and mechanisms to appropriately manage access to Azure interfaces (such as SMAPI) from widely varied endpoints.

Minacce relative alla gestione remotaRemote management threats

Gli utenti malintenzionati provano spesso a ottenere l'accesso con privilegi mediante la compromissione delle credenziali dell'account, ad esempio tramite attacchi di forza bruta alle password, phishing e recupero di credenziali, oppure inducendo gli utenti a eseguire codice dannoso, ad esempio da siti Web dannosi con download inconsapevoli o da allegati dannosi in messaggi di posta elettronica.Attackers often attempt to gain privileged access by compromising account credentials (for example, through password brute forcing, phishing, and credential harvesting), or by tricking users into running harmful code (for example, from harmful websites with drive-by downloads or from harmful email attachments). In un ambiente cloud con gestione remota le violazioni degli account possono comportare un aumento del rischio a causa dell'accesso da qualsiasi posizione e in qualsiasi momento.In a remotely managed cloud environment, account breaches can lead to an increased risk due to anywhere, anytime access.

Anche se sono disponibili controlli rigorosi sugli account amministratore principali, gli account degli utenti a livelli inferiori possono essere usati per sfruttare i punti deboli della strategia di sicurezza.Even with tight controls on primary administrator accounts, lower-level user accounts can be used to exploit weaknesses in one’s security strategy. Anche una formazione insufficiente a livello di sicurezza può provocare violazioni tramite diffusione o esposizione accidentale delle informazioni sull'account.Lack of appropriate security training can also lead to breaches through accidental disclosure or exposure of account information.

Quando la workstation utente viene usata anche per attività amministrative, è possibile che venga compromessa in molti punti diversi,When a user workstation is also used for administrative tasks, it can be compromised at many different points. ad esempio quando un utente esplora il Web, usa strumenti open source o di terze parti oppure apre un documento dannoso contenente un trojan.Whether a user is browsing the web, using 3rd-party and open-source tools, or opening a harmful document file that contains a trojan.

In genere, la maggior parte degli attacchi specifici che generano violazioni dei dati può essere ricondotta a exploit del browser, plug-in (ad esempio Flash, PDF, Java) e spear phishing (posta elettronica) nei computer desktop.In general, most targeted attacks that result in data breaches can be traced to browser exploits, plug-ins (such as Flash, PDF, Java), and spear phishing (email) on desktop machines. È possibile che questi computer abbiano autorizzazioni a livello amministrativo o di servizio per l'accesso a server attivi o a dispositivi di rete per operazioni in caso di uso per la distribuzione o la gestione di altre risorse.These machines may have administrative-level or service-level permissions to access live servers or network devices for operations when used for development or management of other assets.

Concetti fondamentali sulla sicurezza operativaOperational security fundamentals

Per ottenere una gestione e operazioni più sicure, è possibile ridurre al minimo la superficie di attacco di un client riducendo il numero di punti di ingresso possibili.For more secure management and operations, you can minimize a client’s attack surface by reducing the number of possible entry points. Per ottenere questo risultato, è possibile usare le entità di sicurezza di tipo "separazione di compiti" e "separazione di ambienti".This can be done through security principles: “separation of duties” and “segregation of environments.”

L'isolamento delle diverse funzioni riservate consente di ridurre la probabilità che un errore a un livello provochi una violazione in un altro.Isolate sensitive functions from one another to decrease the likelihood that a mistake at one level leads to a breach in another. Esempi:Examples:

  • Le attività amministrative non devono quindi essere combinate con attività che potrebbero generare compromissioni, ad esempio malware in un messaggio di posta elettronica dell'amministratore che infetta un server di infrastruttura.Administrative tasks should not be combined with activities that might lead to a compromise (for example, malware in an administrator’s email that then infects an infrastructure server).
  • Una workstation usata per operazioni con riservatezza elevata non deve essere lo stesso sistema usato per finalità ad alto rischio, ad esempio l'esplorazione su Internet.A workstation used for high-sensitivity operations should not be the same system used for high-risk purposes such as browsing the Internet.

Ridurre la superficie di attacco di un sistema tramite la rimozione di software non necessario.Reduce the system’s attack surface by removing unnecessary software. Esempio:Example:

  • Una workstation standard per l'amministrazione, il supporto o la distribuzione non necessita dell'installazione di un client di posta elettronica o di altre applicazioni per la produttività se la finalità principale del dispositivo consiste nella gestione dei servizi cloud.Standard administrative, support, or development workstation should not require installation of an email client or other productivity applications if the device’s main purpose is to manage cloud services.

Ai sistemi client con accesso di amministratore ai componenti dell'infrastruttura è consigliabile applicare i criteri più rigorosi possibile per ridurre i rischi alla sicurezza.Client systems that have administrator access to infrastructure components should be subjected to the strictest possible policy to reduce security risks. Esempi:Examples:

  • I criteri di sicurezza possono includere le impostazioni di Criteri di gruppo che negano l'accesso aperto a Internet dal dispositivo e l'uso di una configurazione restrittiva per il firewall.Security policies can include Group Policy settings that deny open Internet access from the device and use of a restrictive firewall configuration.
  • Usare VPN IPsec (Internet Protocol Security) se l'accesso diretto è necessario.Use Internet Protocol security (IPsec) VPNs if direct access is needed.
  • Configurare domini di Active Directory separati per la gestione e lo sviluppo.Configure separate management and development Active Directory domains.
  • Isolare e filtrare il traffico di rete della workstation di gestione.Isolate and filter management workstation network traffic.
  • Usare software antimalware.Use antimalware software.
  • Implementare l'autenticazione a più fattori per ridurre il rischio di furto delle credenziali.Implement multi-factor authentication to reduce the risk of stolen credentials.

Il consolidamento delle risorse di accesso e l'eliminazione degli endpoint non gestiti consentono anche di semplificare le attività di gestione.Consolidating access resources and eliminating unmanaged endpoints also simplifies management tasks.

Sicurezza per la gestione remota di AzureProviding security for Azure remote management

Azure offre meccanismi di sicurezza utili per gli amministratori che gestiscono servizi cloud e macchine virtuali di Azure,Azure provides security mechanisms to aid administrators who manage Azure cloud services and virtual machines. ad esempio:These mechanisms include:

  • Autenticazione e controllo degli accessi in base al ruolo.Authentication and role-based access control.
  • Monitoraggio, registrazione e controllo.Monitoring, logging, and auditing.
  • Certificati e comunicazioni crittografate.Certificates and encrypted communications.
  • Portale di gestione Web.A web management portal.
  • Filtri dei pacchetti di rete.Network packet filtering.

Con la configurazione della sicurezza lato client e la distribuzione a data center di un gateway di gestione, è possibile limitare e monitorare l'accesso amministratore alle applicazioni e ai dati sul cloud.With client-side security configuration and datacenter deployment of a management gateway, it is possible to restrict and monitor administrator access to cloud applications and data.

Nota

Alcune indicazioni incluse in questo articolo potrebbero comportare un maggiore utilizzo delle risorse di dati, rete o calcolo e un aumento dei costi di licenza o di sottoscrizione.Certain recommendations in this article may result in increased data, network, or compute resource usage, and may increase your license or subscription costs.

Workstation con protezione avanzata per la gestioneHardened workstation for management

L'obiettivo dell'applicazione della protezione avanzata a una workstation consiste nell'eliminare tutte le funzioni, tranne quelle assolutamente essenziali, necessarie per il funzionamento, riducendo al massimo la potenziale superficie di attacco.The goal of hardening a workstation is to eliminate all but the most critical functions required for it to operate, making the potential attack surface as small as possible. L'applicazione della protezione avanzata al sistema include la riduzione al minimo del numero di applicazioni e servizi installati, la limitazione dell'esecuzione delle applicazioni, la limitazione dell'accesso di rete solo agli elementi necessari e l'aggiornamento continuo del sistema.System hardening includes minimizing the number of installed services and applications, limiting application execution, restricting network access to only what is needed, and always keeping the system up to date. L'uso di una workstation con protezione avanzata per la gestione consente anche di separare gli strumenti amministrativi da altre attività dell'utente finale.Furthermore, using a hardened workstation for management segregates administrative tools and activities from other end-user tasks.

In un ambiente aziendale locale è possibile limitare la superficie di attacco dell'infrastruttura fisica tramite reti di gestione dedicate, locali server con accesso controllato da schede e workstation in esecuzione in aree protette della rete.Within an on-premises enterprise environment, you can limit the attack surface of your physical infrastructure through dedicated management networks, server rooms that have card access, and workstations that run on protected areas of the network. In un modello IT cloud o ibrido l'uso appropriato dei servizi di gestione sicuri può risultare più complesso a causa dell'assenza di accesso fisico alle risorse IT.In a cloud or hybrid IT model, being diligent about secure management services can be more complex because of the lack of physical access to IT resources. L'implementazione delle soluzioni di protezione richiede una configurazione attenta del software, processi incentrati sulla sicurezza e criteri completi.Implementing protection solutions requires careful software configuration, security-focused processes, and comprehensive policies.

L'uso di un footprint software ridotto al minimo con privilegi minimi in una workstation bloccata per la gestione cloud, oltre che per lo sviluppo di applicazioni, può ridurre il rischio di incidenti relativi alla sicurezza mediante la standardizzazione degli ambienti di gestione remota e di sviluppo.Using a least-privilege minimized software footprint in a locked-down workstation for cloud management—and for application development—can reduce the risk of security incidents by standardizing the remote management and development environments. Una configurazione della workstation con protezione avanzata può consentire di evitare la compromissione degli account usati per gestire risorse cloud essenziali, chiudendo molti percorsi comuni usati da malware ed exploit.A hardened workstation configuration can help prevent the compromise of accounts that are used to manage critical cloud resources by closing many common avenues used by malware and exploits. In particolare, è possibile usare Windows AppLocker e la tecnologia Hyper-V per controllare e isolare il comportamento del sistema client e ridurre al minimo le minacce, incluse quelle relative a posta elettronica o esplorazione su Internet.Specifically, you can use Windows AppLocker and Hyper-V technology to control and isolate client system behavior and mitigate threats, including email or Internet browsing.

In una workstation con protezione avanzata l'amministratore esegue un account utente standard, che blocca l'esecuzione a livello amministrativo, e le applicazioni associate sono controllate da un elenco di applicazioni consentite.On a hardened workstation, the administrator runs a standard user account (which blocks administrative-level execution) and associated applications are controlled by an allow list. Ecco gli elementi di base di una workstation con protezione avanzata:The basic elements of a hardened workstation are as follows:

  • Analisi attiva e applicazione di patch.Active scanning and patching. È possibile distribuire software antimalware, eseguire analisi di vulnerabilità regolari e aggiornare tutte le workstation usando gli aggiornamenti più recenti per la sicurezza in modo tempestivo.Deploy antimalware software, perform regular vulnerability scans, and update all workstations by using the latest security update in a timely fashion.
  • Funzionalità limitata.Limited functionality. È possibile disinstallare le applicazioni non necessarie e disabilitare i servizi non necessari (avvio).Uninstall any applications that are not needed and disable unnecessary (startup) services.
  • Protezione avanzata della rete.Network hardening. È possibile usare le regole di Windows Firewall per consentire solo gli indirizzi IP, le porte e gli URL validi correlati alla gestione di Azure.Use Windows Firewall rules to allow only valid IP addresses, ports, and URLs related to Azure management. Assicurarsi che le connessioni remote in arrivo alla workstation siano bloccate.Ensure that inbound remote connections to the workstation are also blocked.
  • Restrizione dell'esecuzione.Execution restriction. È possibile consentire solo un set di file eseguibili predefiniti necessari per l'esecuzione della gestione. Questo approccio è definito "rifiuto predefinito".Allow only a set of predefined executable files that are needed for management to run (referred to as “default-deny”). Per impostazione predefinita, gli utenti non devono essere autorizzati a eseguire alcun programma, a meno che non sia definito esplicitamente nell'elenco Consenti.By default, users should be denied permission to run any program unless it is explicitly defined in the allow list.
  • Privilegi minimi.Least privilege. Gli utenti delle workstation di gestione non devono avere privilegi amministrativi nel computer locale stesso.Management workstation users should not have any administrative privileges on the local machine itself. In questo modo non potranno modificare la configurazione del sistema o i file di sistema, in modo intenzionale o accidentale.This way, they cannot change the system configuration or the system files, either intentionally or unintentionally.

È possibile applicare queste restrizioni usando Oggetti Criteri di gruppo in Active Directory Domain Services (AD DS) e applicandoli nel dominio di gestione (locale) a tutti gli account di gestione.You can enforce all this by using Group Policy Objects (GPOs) in Active Directory Domain Services (AD DS) and applying them through your (local) management domain to all management accounts.

Gestione di servizi, applicazioni e datiManaging services, applications, and data

La configurazione dei servizi cloud di Azure viene eseguita mediante il portale di Azure o SMAPI, tramite l'interfaccia da riga di comando di Windows PowerShell o un'applicazione personalizzata che sfrutta queste interfacce RESTful.Azure cloud services configuration is performed through either the Azure portal or SMAPI, via the Windows PowerShell command-line interface or a custom-built application that takes advantage of these RESTful interfaces. I servizi che usano questi meccanismi includono Azure Active Directory (Azure AD), Archiviazione di Azure, Siti Web di Azure, Rete virtuale di Azure e altri ancora.Services using these mechanisms include Azure Active Directory (Azure AD), Azure Storage, Azure Websites, and Azure Virtual Network, and others.

Le applicazioni distribuite in macchine virtuali forniscono strumenti e interfacce client specifiche in base alla necessità, ad esempio Microsoft Management Console (MMC), una console di gestione aziendale, ad esempio Microsoft System Center o Windows Intune, oppure un'altra applicazione di gestione, ad esempio Microsoft SQL Server Management Studio.Virtual Machine–deployed applications provide their own client tools and interfaces as needed, such as the Microsoft Management Console (MMC), an enterprise management console (such as Microsoft System Center or Windows Intune), or another management application—Microsoft SQL Server Management Studio, for example. Questi strumenti si trovano in genere in un ambiente aziendale o in una rete client.These tools typically reside in an enterprise environment or client network. Possono dipendere da protocolli di rete specifici, ad esempio Remote Desktop Protocol (RDP), che richiedono connessioni dirette e con stato.They may depend on specific network protocols, such as Remote Desktop Protocol (RDP), that require direct, stateful connections. Alcuni strumenti possono avere interfacce abilitate per il Web, che non devono essere pubblicate apertamente o accessibili tramite Internet.Some may have web-enabled interfaces that should not be openly published or accessible via the Internet.

È possibile limitare l'accesso alla gestione dell'infrastruttura e dei servizi della piattaforma in Azure usando l'autenticazione a più fattori, i certificati di gestione X.509 e le regole del firewall.You can restrict access to infrastructure and platform services management in Azure by using multi-factor authentication, X.509 management certificates, and firewall rules. Il portale di Azure e SMAPI richiedono il protocollo TLS (Transport Layer Security).The Azure portal and SMAPI require Transport Layer Security (TLS). I servizi e le applicazioni distribuiti in Azure richiedono tuttavia misure di protezione appropriate in base all'applicazione.However, services and applications that you deploy into Azure require you to take protection measures that are appropriate based on your application. Questi meccanismi possono essere spesso abilitati con maggiore facilità tramite una configurazione di workstation con protezione avanzata standardizzata.These mechanisms can frequently be enabled more easily through a standardized hardened workstation configuration.

Gateway di gestioneManagement gateway

Per centralizzare tutto l'accesso amministrativo e semplificare il monitoraggio e la registrazione, è possibile distribuire un server Gateway Desktop remoto dedicato nella rete locale, connesso all'ambiente Azure.To centralize all administrative access and simplify monitoring and logging, you can deploy a dedicated Remote Desktop Gateway (RD Gateway) server in your on-premises network, connected to your Azure environment.

Un Gateway Desktop remoto è un servizio proxy RDP basato su criteri che applica i requisiti relativi alla sicurezza.A Remote Desktop Gateway is a policy-based RDP proxy service that enforces security requirements. L'implementazione di un Gateway Desktop remoto insieme a Protezione accesso alla rete di Windows Server consentono di assicurare che solo i client che soddisfano criteri di integrità specifici definiti dagli oggetti Criteri di gruppo di Servizi di dominio Active Directory riescano a connettersi.Implementing RD Gateway together with Windows Server Network Access Protection (NAP) helps ensure that only clients that meet specific security health criteria established by Active Directory Domain Services (AD DS) Group Policy objects (GPOs) can connect. Eseguire anche queste operazioni:In addition:

  • Effettuare il provisioning di un certificato di gestione di Azure sul Gateway Desktop remoto in modo che sia l'unico host autorizzato ad accedere al portale di Azure.Provision an Azure management certificate on the RD Gateway so that it is the only host allowed to access the Azure portal.
  • Aggiungere il Gateway Desktop remoto allo stesso dominio di gestione delle workstation dell'amministratore.Join the RD Gateway to the same management domain as the administrator workstations. Questa operazione è necessaria quando si usa una VPN IPsec da sito a sito o ExpressRoute in un dominio con un trust unidirezionale verso Azure AD oppure se si esegue la federazione di credenziali tra l'istanza locale di Servizi di dominio Active Directory e Azure AD.This is necessary when you are using a site-to-site IPsec VPN or ExpressRoute within a domain that has a one-way trust to Azure AD, or if you are federating credentials between your on-premises AD DS instance and Azure AD.
  • Configurare un criterio di autorizzazione di connessione client per consentire al Gateway Desktop remoto di verificare che il nome del computer client sia valido (aggiunto al dominio) e che sia autorizzato ad accedere al portale di Azure.Configure a client connection authorization policy to let the RD Gateway verify that the client machine name is valid (domain joined) and allowed to access the Azure portal.
  • Usare IPsec per la VPN di Azure per una maggiore protezione del traffico di gestione da intercettazioni e furto di token oppure prendere in considerazione un collegamento Internet isolato tramite Azure ExpressRoute.Use IPsec for Azure VPN to further protect management traffic from eavesdropping and token theft, or consider an isolated Internet link via Azure ExpressRoute.
  • Abilitare l'autenticazione a più fattori tramite Azure Multi-Factor Authentication oppure l'autenticazione tramite smart card per gli amministratori che accedono tramite il Gateway Desktop remoto.Enable multi-factor authentication (via Azure Multi-Factor Authentication) or smart-card authentication for administrators who log on through RD Gateway.
  • Configurare restrizioni per l'indirizzo IP di origine o gruppi di sicurezza di rete in Azure per ridurre al minimo il numero di endpoint di gestione consentiti.Configure source IP address restrictions or Network Security Groups in Azure to minimize the number of permitted management endpoints.

Linee guida sulla sicurezzaSecurity guidelines

In genere, la configurazione della sicurezza delle workstation dell'amministratore per l'uso con il cloud è simile alle procedure usate per qualsiasi workstation locale, ad esempio compilazione ridotta al minimo e autorizzazioni restrittive.In general, helping to secure administrator workstations for use with the cloud is similar to the practices used for any workstation on-premises—for example, minimized build and restrictive permissions. Alcuni aspetti unici della gestione cloud sono più simili alla gestione remota o alla gestione aziendale fuori banda,Some unique aspects of cloud management are more akin to remote or out-of-band enterprise management. ad esempio l'uso e il controllo delle credenziali, l'accesso remoto con sicurezza avanzata e il rilevamento e la risposta alle minacce.These include the use and auditing of credentials, security-enhanced remote access, and threat detection and response.

AuthenticationAuthentication

È possibile usare le restrizioni di accesso di Azure per impedire agli indirizzi IP di origine di accedere agli strumenti amministrativi e controllare le richieste di accesso.You can use Azure logon restrictions to constrain source IP addresses for accessing administrative tools and audit access requests. Per semplificare l'identificazione da parte di Azure dei client di gestione (workstation e/o applicazioni), è possibile configurare SMAPI tramite strumenti sviluppati dai clienti come i cmdlet di Windows PowerShell e il portale di Azure per richiedere l'installazione di certificati di gestione lato client, oltre ai certificati SSL.To help Azure identify management clients (workstations and/or applications), you can configure both SMAPI (via customer-developed tools such as Windows PowerShell cmdlets) and the Azure portal to require client-side management certificates to be installed, in addition to SSL certificates. È anche consigliabile che l'accesso amministratore richieda l'autenticazione a più fattori.We also recommend that administrator access require multi-factor authentication.

Alcune applicazioni o alcuni servizi distribuiti in Azure possono avere meccanismi di autenticazione specifici per l'accesso degli utenti finali e degli amministratori, mentre altri sfruttano tutte le funzionalità di Azure AD.Some applications or services that you deploy into Azure may have their own authentication mechanisms for both end-user and administrator access, whereas others take full advantage of Azure AD. Indipendentemente dalla federazione di credenziali tramite Active Directory Federation Services (AD FS), dall'uso della sincronizzazione delle directory o dalla gestione degli account utente esclusivamente nel cloud, l'uso di Microsoft Identity Manager, incluso in Azure AD Premium, semplifica la gestione dei cicli di vita delle identità tra le risorse.Depending on whether you are federating credentials via Active Directory Federation Services (AD FS), using directory synchronization or maintaining user accounts solely in the cloud, using Microsoft Identity Manager (part of Azure AD Premium) helps you manage identity lifecycles between the resources.

ConnettivitàConnectivity

Sono disponibili alcuni meccanismi per semplificare la protezione delle connessioni client nelle reti virtuali di Azure.Several mechanisms are available to help secure client connections to your Azure virtual networks. Due di questi meccanismi, VPN da sito a sito (S2S) e VPN da punto a sito (P2S), consentono l'uso del protocollo IPsec standard di settore (S2S) o del protocollo SSTP (Secure Socket Tunneling Protocol) (P2S) per la crittografia e il tunneling.Two of these mechanisms, site-to-site VPN (S2S) and point-to-site VPN (P2S), enable the use of industry standard IPsec (S2S) or the Secure Socket Tunneling Protocol (SSTP) (P2S) for encryption and tunneling. Quando si connette alla gestione di servizi di Azure per il pubblico, ad esempio al portale di Azure, Azure richiede il protocollo HTTPS (Hypertext Transfer Protocol Secure).When Azure is connecting to public-facing Azure services management such as the Azure portal, Azure requires Hypertext Transfer Protocol Secure (HTTPS).

Una workstation autonoma con protezione avanzata che non si connette ad Azure tramite un Gateway Desktop remoto deve usare la VPN da punto a sito basata su SSTP per creare la connessione iniziale alla rete virtuale di Azure e quindi deve stabilire una connessione RDP alle singole macchine virtuali dal tunnel VPN.A stand-alone hardened workstation that does not connect to Azure through an RD Gateway should use the SSTP-based point-to-site VPN to create the initial connection to the Azure Virtual Network, and then establish RDP connection to individual virtual machines from with the VPN tunnel.

Confronto tra il controllo della gestione e l'applicazione dei criteriManagement auditing vs. policy enforcement

In genere sono disponibili due approcci per semplificare la protezione dei processi di gestione, ovvero il controllo e l'applicazione dei criteri.Typically, there are two approaches for helping to secure management processes: auditing and policy enforcement. L'uso di entrambi gli approcci offre controlli completi, ma potrebbe non essere consentito in tutte le situazioni.Doing both provides comprehensive controls, but may not be possible in all situations. Ogni approccio presenta inoltre livelli di rischio, costi e impegno diversi associati alla gestione della sicurezza, in particolare per quanto riguarda il livello di attendibilità attribuito ai singoli utenti e alle architetture di sistema.In addition, each approach has different levels of risk, cost, and effort associated with managing security, particularly as it relates to the level of trust placed in both individuals and system architectures.

Il monitoraggio, la registrazione e il controllo forniscono una base per la verifica e la comprensione delle attività amministrative, ma è possibile che non si riesca a controllare tutte le azioni in modo dettagliato a causa della quantità di dati generata.Monitoring, logging, and auditing provide a basis for tracking and understanding administrative activities, but it may not always be feasible to audit all actions in complete detail due to the amount of data generated. Il controllo dell'efficacia dei criteri di gestione è tuttavia una procedura consigliata.Auditing the effectiveness of the management policies is a best practice, however.

L'applicazione di criteri che include controlli di accesso rigorosi implementa meccanismi a livello di codice che consentono di regolamentare le azioni amministrative e di assicurare che vengano usate tutte le misure di protezione possibili.Policy enforcement that includes strict access controls puts programmatic mechanisms in place that can govern administrator actions, and it helps ensure that all possible protection measures are being used. La registrazione fornisce la dimostrazione dell'applicazione, oltre a un record di quali operazioni sono state eseguite, da chi, da dove e quando.Logging provides proof of enforcement, in addition to a record of who did what, from where, and when. La registrazione consente anche di controllare e verificare le informazioni sul rispetto dei criteri da parte degli amministratori e fornisce la dimostrazione delle attività.Logging also enables you to audit and crosscheck information about how administrators follow policies, and it provides evidence of activities

Configurazione del clientClient configuration

Sono consigliabili tre configurazioni primarie per una workstation con protezione avanzata.We recommend three primary configurations for a hardened workstation. Le tre configurazioni presentano differenze a livello di costo, usabilità e accessibilità, pur mantenendo un profilo di sicurezza simile in tutte le opzioni.The biggest differentiators between them are cost, usability, and accessibility, while maintaining a similar security profile across all options. La tabella seguente fornisce una breve analisi dei vantaggi e dei rischi di ogni configurazione.The following table provides a short analysis of the benefits and risks to each. Si noti che con "computer aziendale" si indica una configurazione di computer desktop standard da distribuire a tutti gli utenti del dominio, indipendentemente dai ruoli.(Note that “corporate PC” refers to a standard desktop PC configuration that would be deployed for all domain users, regardless of roles.)

ConfigurazioneConfiguration VantaggiBenefits SvantaggiCons
Workstation autonoma con protezione avanzataStand-alone hardened workstation Workstation con controllo rigorosoTightly controlled workstation Costo più elevato per i desktop dedicatihigher cost for dedicated desktops
- Rischio ridotto di exploit dell'applicazioneReduced risk of application exploits Maggiore impegno di gestioneIncreased management effort
- Separazione netta dei compitiClear separation of duties -
Computer aziendale come macchina virtualeCorporate PC as virtual machine Costi hardware ridottiReduced hardware costs -
- Separazione di ruolo e applicazioniSegregation of role and applications -
Windows da usare con la crittografia di unità BitLockerWindows to go with BitLocker drive encryption Compatibilità con la maggior parte dei computerCompatibility with most PCs Verifica delle risorseAsset tracking
- Convenienza economica e portabilitàCost-effectiveness and portability -
- Ambiente di gestione isolatoIsolated management environment -

È importante che la workstation con protezione avanzata sia l'host e non il guest e che non siano presenti elementi tra il sistema operativo host e l'hardware.It is important that the hardened workstation is the host and not the guest, with nothing between the host operating system and the hardware. Il rispetto del "principio dell'origine pulita", definito anche "origine sicura", comporta l'applicazione della protezione più avanzata sull'host.Following the “clean source principle” (also known as “secure origin”) means that the host should be the most hardened. In caso contrario, la workstation con protezione avanzata (guest) è soggetta ad attacchi sul sistema in cui è ospitata.Otherwise, the hardened workstation (guest) is subject to attacks on the system on which it is hosted.

È possibile separare ulteriormente le funzioni amministrative tramite immagini di sistema dedicate per ogni workstation con protezione avanzata che ha solo gli strumenti e le autorizzazioni necessarie per la gestione di applicazioni Azure e cloud selezionate, con oggetti Criteri di gruppo locali specifici di Servizi di dominio Active Directory per le attività necessarie.You can further segregate administrative functions through dedicated system images for each hardened workstation that have only the tools and permissions needed for managing select Azure and cloud applications, with specific local AD DS GPOs for the necessary tasks.

Per gli ambienti IT privi di infrastruttura locale, ad esempio senza accesso all'istanza locale di Active Directory Domain Services per gli oggetti Criteri di gruppo perché tutti i server sono nel cloud, un servizio come Microsoft Intune può semplificare la distribuzione e la gestione delle configurazioni delle workstation.For IT environments that have no on-premises infrastructure (for example, no access to a local AD DS instance for GPOs because all servers are in the cloud), a service such as Microsoft Intune can simplify deploying and maintaining workstation configurations.

Workstation autonoma con protezione avanzata per la gestioneStand-alone hardened workstation for management

Con una workstation autonoma con protezione avanzata gli amministratori hanno un computer o un computer portatile che può essere usato per attività amministrative e un altro computer o computer portatile separato per le attività non amministrative.With a stand-alone hardened workstation, administrators have a PC or laptop that they use for administrative tasks and another, separate PC or laptop for non-administrative tasks. Una workstation dedicata alla gestione dei servizi di Azure non necessita dell'installazione di altre applicazioni.A workstation dedicated to managing your Azure services does not need other applications installed. L'uso di workstation che supportano un Trusted Platform Module (TPM) o una tecnologia analoga per la crittografia a livello hardware semplifica l'autenticazione dei dispositivi e contribuisce a evitare determinati attacchi.Additionally, using workstations that support a Trusted Platform Module (TPM) or similar hardware-level cryptography technology aids in device authentication and prevention of certain attacks. Il modulo TPM può supportare anche la protezione dell'intero volume dell'unità di sistema tramite la Crittografia unità BitLocker.TPM can also support full volume protection of the system drive by using BitLocker Drive Encryption.

Nello scenario con workstation autonoma con protezione avanzata, illustrato di seguito, l'istanza locale di Windows Firewall o di un firewall client non Microsoft viene configurata in modo da bloccare le connessioni in arrivo, ad esempio RDP.In the stand-alone hardened workstation scenario (shown below), the local instance of Windows Firewall (or a non-Microsoft client firewall) is configured to block inbound connections, such as RDP. L'amministratore può accedere alla workstation con protezione avanzata e avviare una sessione RDP che si connette ad Azure dopo avere stabilito una connessione VPN con la rete virtuale di Azure, ma non può accedere a un computer aziendale e usare RDP per connettersi alla workstation con protezione avanzata stessa.The administrator can log on to the hardened workstation and start an RDP session that connects to Azure after establishing a VPN connect with an Azure Virtual Network, but cannot log on to a corporate PC and use RDP to connect to the hardened workstation itself.

Computer aziendale come macchina virtualeCorporate PC as virtual machine

Nei casi in cui una workstation autonoma con protezione avanzata separata risulta troppo costosa o poco pratica, la workstation con protezione avanzata può ospitare una macchina virtuale per l'esecuzione di attività non amministrative.In cases where a separate stand-alone hardened workstation is cost prohibitive or inconvenient, the hardened workstation can host a virtual machine to perform non-administrative tasks.

Per evitare alcuni rischi relativi alla sicurezza che possono derivare dall'uso di una workstation per la gestione dei sistemi e per altre attività lavorative quotidiane, è possibile distribuire una macchina virtuale Hyper-V Windows per la workstation con protezione avanzata.To avoid several security risks that can arise from using one workstation for systems management and other daily work tasks, you can deploy a Windows Hyper-V virtual machine to the hardened workstation. Questa macchina virtuale può essere usata come computer aziendale.This virtual machine can be used as the corporate PC. L'ambiente del computer aziendale può rimanere isolato dall'host, in modo da ridurne la superficie di attacco e rimuovere le attività quotidiane dell'utente, ad esempio la posta elettronica, per evitare la coesistenza con attività amministrative riservate.The corporate PC environment can remain isolated from the Host, which reduces its attack surface and removes the user’s daily activities (such as email) from coexisting with sensitive administrative tasks.

La macchina virtuale del computer aziendale è in esecuzione in uno spazio protetto e fornisce applicazioni utente.The corporate PC virtual machine runs in a protected space and provides user applications. L'host rimane una "origine pulita" e applica criteri di rete rigorosi nel sistema operativo radice, ad esempio il blocco dell'accesso RDP dalla macchina virtuale.The host remains a “clean source” and enforces strict network policies in the root operating system (for example, blocking RDP access from the virtual machine).

Windows To GoWindows To Go

Un'alternativa all'uso di una workstation autonoma con protezione avanzata è costituita dall'uso di un'unità Windows To Go, una funzionalità che supporta l'avvio USB lato client.Another alternative to requiring a stand-alone hardened workstation is to use a Windows To Go drive, a feature that supports a client-side USB-boot capability. Windows To Go consente agli utenti di avviare un computer compatibile in un'immagine di sistema isolata in esecuzione da un'unità flash USB crittografata.Windows To Go enables users to boot a compatible PC to an isolated system image running from an encrypted USB flash drive. Fornisce controlli aggiuntivi per endpoint di amministrazione remota, perché l'immagine può essere completamente gestita da un gruppo IT aziendale, con criteri di sicurezza rigorosi, una build minima del sistema operativo e supporto per TPM.It provides additional controls for remote-administration endpoints because the image can be fully managed by a corporate IT group, with strict security policies, a minimal OS build, and TPM support.

Nella figura seguente l'immagine portatile è un sistema aggiunto a un dominio preconfigurato per connettersi solo ad Azure, che richiede l'autenticazione a più fattori e blocca tutto il traffico non di gestione.In the figure below, the portable image is a domain-joined system that is preconfigured to connect only to Azure, requires multi-factor authentication, and blocks all non-management traffic. Se un utente riavvia lo stesso computer nell'immagine aziendale standard e prova ad accedere al Gateway Desktop remoto per gli strumenti di gestione di Azure, la sessione verrà bloccata.If a user boots the same PC to the standard corporate image and tries accessing RD Gateway for Azure management tools, the session is blocked. Windows To Go diventa il sistema operativo a livello di radice e non sono necessari altri livelli, ovvero sistema operativo, hypervisor, macchina virtuale, che potrebbero essere più vulnerabili agli attacchi esterni.Windows To Go becomes the root-level operating system, and no additional layers are required (host operating system, hypervisor, virtual machine) that may be more vulnerable to outside attacks.

È importante notare che le unità flash USB possono essere perse più facilmente rispetto a un computer desktop medio.It is important to note that USB flash drives are more easily lost than an average desktop PC. L'uso di BitLocker per crittografare l'intero volume, insieme a una password complessa, riduce la probabilità dell'uso dell'immagine dell'unità da parte di un utente malintenzionato per finalità dannose.Use of BitLocker to encrypt the entire volume, together with a strong password, makes it less likely that an attacker can use the drive image for harmful purposes. Se inoltre si perde l'unità flash USB, la revoca e il rilascio di un nuovo certificato di gestione insieme a una rapida reimpostazione della password possono ridurre l'esposizione.Additionally, if the USB flash drive is lost, revoking and issuing a new management certificate along with a quick password reset can reduce exposure. I log di controllo amministrativi si trovano in Azure, non sul client, per ridurre ulteriormente la perdita potenziale di dati.Administrative audit logs reside within Azure, not on the client, further reducing potential data loss.

Procedure consigliateBest practices

Prendere in considerazione le linee guida aggiuntive seguenti quando si gestiscono le applicazioni e i dati in Azure.Consider the following additional guidelines when you are managing applications and data in Azure.

Procedure rischiose e procedure consigliateDos and don'ts

Occorre non presupporre che il blocco di una workstation renda superflui gli altri requisiti comuni per la sicurezza.Don't assume that because a workstation has been locked down that other common security requirements do not need to be met. Il rischio potenziale risulta maggiore a causa dei livelli di accesso con privilegi elevati associati in genere agli account di amministratore.The potential risk is higher because of elevated access levels that administrator accounts generally possess. La tabella seguente illustra esempi di rischi e le procedure consigliate alternative.Examples of risks and their alternate safe practices are shown in the table below.

Procedura rischiosaDon't Procedura consigliataDo
Non inviare tramite posta elettronica le credenziali per l'accesso amministratore o altri segreti, ad esempio SSL o certificati di gestione.Don't email credentials for administrator access or other secrets (for example, SSL or management certificates) Mantenere la riservatezza comunicando a voce i nomi e le password degli account, ma non memorizzandoli nella posta vocale, eseguire un'installazione remota di certificati client/server (tramite una sessione crittografata), eseguire il download da una condivisione di rete crittografata oppure eseguire la distribuzione manuale tramite un supporto rimovibile.Maintain confidentiality by delivering account names and passwords by voice (but not storing them in voice mail), perform a remote installation of client/server certificates (via an encrypted session), download from a protected network share, or distribute by hand via removable media.
- Gestire in modo proattivo i cicli di vita del certificati di gestione.Proactively manage your management certificate life cycles.
Non memorizzare le password dell'account senza crittografarle o senza hash nella risorsa di archiviazione dell'applicazione, ad esempio in fogli di calcolo, siti di SharePoint o condivisioni di rete.Don't store account passwords unencrypted or un-hashed in application storage (such as in spreadsheets, SharePoint sites, or file shares). Definire principi di gestione della sicurezza e criteri di protezione avanzata del sistema e applicarli all'ambiente di sviluppo.Establish security management principles and system hardening policies, and apply them to your development environment.
- Usare le regole di associazione del certificato di Enhanced Mitigation Experience Toolkit 5.5 per assicurare un accesso appropriato ai siti SSL/TLS di Azure.Use Enhanced Mitigation Experience Toolkit 5.5 certificate pinning rules to ensure proper access to Azure SSL/TLS sites.
Non condividere account e password tra gli amministratori o riutilizzare le password tra più account utente o servizi, in particolare quelli destinati a social media o ad altre attività non amministrative.Don't share accounts and passwords between administrators, or reuse passwords across multiple user accounts or services, particularly those for social media or other nonadministrative activities. Creare un account Microsoft dedicato per gestire la sottoscrizione di Azure, ovvero un account non usato per la posta elettronica personale.Create a dedicated Microsoft account to manage your Azure subscription—an account that is not used for personal email.
Non inviare file di configurazione tramite posta elettronica.Don't email configuration files. I file e i profili di configurazione devono essere installati da un'origine attendibile, ad esempio un'unità flash USB crittografata, non da un meccanismo che può essere compromesso facilmente, ad esempio la posta elettronica.Configuration files and profiles should be installed from a trusted source (for example, an encrypted USB flash drive), not from a mechanism that can be easily compromised, such as email.
Non usare password di accesso vulnerabili o semplici.Don't use weak or simple logon passwords. Applicare criteri per password complesse, cicli di scadenza (changeon-first-use), timeout della console e blocchi automatici degli account.Enforce strong password policies, expiration cycles (changeon-first-use), console timeouts, and automatic account lockouts. Usare un sistema di gestione delle password client con autenticazione a più fattori per l'accesso all'insieme di credenziali delle password.Use a client password management system with multi-factor authentication for password vault access.
Non esporre le porte di gestione su Internet.Don't expose management ports to the Internet. Bloccare le porte e gli indirizzi IP di Azure per limitare l'accesso di gestione.Lock down Azure ports and IP addresses to restrict management access. Per altre informazioni, vedere il white paper sulla sicurezza di rete in Azure.For more information, see the Azure Network Security white paper.
- Usare firewall, VPN e Protezione accesso alla rete per tutte le connessioni di gestione.Use firewalls, VPNs, and NAP for all management connections.

Operazioni di AzureAzure operations

Nell'ambito della gestione Microsoft di Azure, i responsabili del funzionamento e il personale di supporto che accedono ai sistemi di produzione di Azure usano computer workstation con protezione avanzata con VM sottoposti a provisioning per l'accesso di rete aziendale interno e per le applicazioni, ad esempio posta elettronica, Intranet e così via.Within Microsoft’s operation of Azure, operations engineers and support personnel who access Azure’s production systems use hardened workstation PCs with VMs provisioned on them for internal corporate network access and applications (such as e-mail, intranet, etc.). Tutti i computer workstation di gestione hanno TPM, l'unità di avvio host è crittografata con BitLocker e i computer sono aggiunti a un'unità organizzativa speciale nel dominio aziendale primario di Microsoft.All management workstation computers have TPMs, the host boot drive is encrypted with BitLocker, and they are joined to a special organizational unit (OU) in Microsoft’s primary corporate domain.

La protezione avanzata del sistema viene applicata tramite Criteri di gruppo, con aggiornamento software centralizzato.System hardening is enforced through Group Policy, with centralized software updating. Per finalità di controllo e analisi, i log eventi, ad esempio relativi alla sicurezza e AppLocker, vengono raccolti dalle workstation di gestione e vengono salvati in una posizione centrale.For auditing and analysis, event logs (such as security and AppLocker) are collected from management workstations and saved to a central location.

Nella rete Microsoft vengono anche usati server jumpbox che richiedono l'autenticazione a due fattori per la connessione alla rete di produzione di Azure.In addition, dedicated jump-boxes on Microsoft’s network that require two-factor authentication are used to connect to Azure’s production network.

Elenco di controllo di sicurezza di AzureAzure security checklist

La riduzione al minimo del numero di attività che gli amministratori possono eseguire in una workstation con protezione avanzata consente di ridurre al minimo la superficie di attacco nell'ambiente di sviluppo e di gestione.Minimizing the number of tasks that administrators can perform on a hardened workstation helps minimize the attack surface in your development and management environment. Usare le tecnologie seguenti per semplificare la protezione della workstation con protezione avanzata:Use the following technologies to help protect your hardened workstation:

  • Protezione avanzata di Internet Explorer.IE hardening. Il browser Internet Explorer o un Web browser qualsiasi è un punto di ingresso essenziale per codice dannoso a causa delle interazioni estese con i server esterni.The Internet Explorer browser (or any web browser, for that matter) is a key entry point for harmful code due to its extensive interactions with external servers. Verificare i criteri client e applicare l'esecuzione in modalità protetta, disabilitando i componenti aggiuntivi, disabilitando i download di file e usando i filtri Microsoft SmartScreen.Review your client policies and enforce running in protected mode, disabling add-ons, disabling file downloads, and using Microsoft SmartScreen filtering. Verificare che gli avvisi di sicurezza vengano visualizzati.Ensure that security warnings are displayed. Sfruttare i vantaggi delle aree Internet e creare un elenco di siti attendibili per cui è stata configurata una protezione avanzata ragionevole.Take advantage of Internet zones and create a list of trusted sites for which you have configured reasonable hardening. Bloccare tutti i siti e il codice nel browser, ad esempio ActiveX e Java.Block all other sites and in-browser code, such as ActiveX and Java.
  • Utente standard.Standard user. L'esecuzione come utente standard offre alcuni vantaggi, il più importante dei quali consiste nel rendere più difficile il furto delle credenziali dell'amministratore tramite malware.Running as a standard user brings a number of benefits, the biggest of which is that stealing administrator credentials via malware becomes more difficult. Un account utente standard, inoltre, non ha privilegi elevati sul sistema operativo radice e molte opzioni di configurazioni e API sono bloccate per impostazione predefinita.In addition, a standard user account does not have elevated privileges on the root operating system, and many configuration options and APIs are locked out by default.
  • AppLocker.AppLocker. È possibile usare AppLocker per limitare i programmi e gli script che possono essere eseguiti dagli utenti.You can use AppLocker to restrict the programs and scripts that users can run. È possibile eseguire AppLocker in modalità di controllo o di imposizione.You can run AppLocker in audit or enforcement mode. Per impostazione predefinita, AppLocker include una regola di autorizzazione che consente agli utenti con token di amministratore di eseguire tutto il codice sul client.By default, AppLocker has an allow rule that enables users who have an admin token to run all code on the client. Questa regola è stata creata per impedire agli amministratori di bloccare se stessi ed è applicabile solo ai token con privilegi elevati.This rule exists to prevent administrators from locking themselves out, and it applies only to elevated tokens. Vedere anche l'integrità del codice come parte della sicurezza di base di Windows Server.See also Code Integrity as part of Windows Server core security.
  • Firma del codice.Code signing. La firma del codice per tutti gli strumenti e gli script usati dagli amministratori offre un meccanismo gestibile per la distribuzione di criteri di blocco dell'applicazione.Code signing all tools and scripts used by administrators provides a manageable mechanism for deploying application lockdown policies. Gli hash non vengono ridimensionati con le modifiche rapide al codice e i percorsi dei file non forniscono una sicurezza di livello elevato.Hashes do not scale with rapid changes to the code, and file paths do not provide a high level of security. È consigliabile combinare le regole di AppLocker con un criterio di esecuzione di PowerShell che consenta l'esecuzione solo di codice firmato e script specifici.You should combine AppLocker rules with a PowerShell execution policy that only allows specific signed code and scripts to be executed.
  • Criteri di gruppo.Group Policy. Creare criteri amministrativi globali applicati a qualsiasi workstation di dominio usata per la gestione (e bloccare l'accesso da tutte le altre), oltre che agli account utente autenticati su queste workstation.Create a global administrative policy that is applied to any domain workstation that is used for management (and block access from all others), and to user accounts authenticated on those workstations.
  • Provisioning con miglioramento della sicurezza.Security-enhanced provisioning. Proteggere l'immagine della workstation con protezione avanzata baseline per semplificare la protezione da manomissioni.Safeguard your baseline hardened workstation image to help protect against tampering. Usare misure di sicurezza quali la crittografia e l'isolamento per archiviare immagini, macchine virtuali e script e limitare l'accesso, usando ad esempio un processo di archiviazione/estrazione controllabile.Use security measures like encryption and isolation to store images, virtual machines, and scripts, and restrict access (perhaps use an auditable check-in/check-out process).
  • Applicazione di patch.Patching. Mantenere una build coerente o avere a disposizione immagini separate per attività di sviluppo, operative e altre attività amministrative, ricercare regolarmente modifiche e malware, mantenere aggiornata la build a oggi e attivare i computer solo quando sono necessari.Maintain a consistent build (or have separate images for development, operations, and other administrative tasks), scan for changes and malware routinely, keep the build up to date, and only activate machines when they are needed.
  • Crittografia.Encryption. Assicurarsi che le workstation di gestione abbiano un TPM per abilitare in modo più sicuro Encrypting File System (EFS) e BitLocker.Make sure that management workstations have a TPM to more securely enable Encrypting File System (EFS) and BitLocker. Se si usa Windows To Go, usare solo chiavi USB crittografate insieme a BitLocker.If you are using Windows To Go, use only encrypted USB keys together with BitLocker.
  • Governance.Governance. Usare gli oggetti Criteri di gruppo di Active Directory Domain Services per controllare tutte le interfacce amministrative di Windows, ad esempio la condivisione di file.Use AD DS GPOs to control all the administrators’ Windows interfaces, such as file sharing. Includere le workstation di gestione nei processi di controllo, monitoraggio e registrazione.Include management workstations in auditing, monitoring, and logging processes. Tenere traccia di tutti gli accessi e gli utilizzi di amministratori e sviluppatori.Track all administrator and developer access and usage.

SummarySummary

L'uso di una configurazione di workstation con protezione avanzata per l'amministrazione dei servizi cloud di Azure, delle macchine virtuali e delle applicazione può contribuire a evitare numerosi rischi e minacce derivanti dalla gestione remota dell'infrastruttura IT essenziale.Using a hardened workstation configuration for administering your Azure cloud services, Virtual Machines, and applications can help you avoid numerous risks and threats that can come from remotely managing critical IT infrastructure. Azure e Windows offrono meccanismi utili per semplificare la protezione e il controllo di comunicazioni, autenticazione e comportamento del client.Both Azure and Windows provide mechanisms that you can employ to help protect and control communications, authentication, and client behavior.

Passaggi successiviNext steps

Le risorse seguenti sono disponibili per fornire altre informazioni generali su Azure e sui servizi Microsoft correlati, oltre a elementi specifici a cui si fa riferimento in questo articolo:The following resources are available to provide more general information about Azure and related Microsoft services, in addition to specific items referenced in this paper: