Procedure consigliate per la sicurezza della rete di AzureAzure Network Security Best Practices

Microsoft Azure consente di connettere macchine e dispositivi virtuali ad altri dispositivi di rete inserendoli in reti virtuali di Azure.Microsoft Azure enables you to connect virtual machines and appliances to other networked devices by placing them on Azure Virtual Networks. Una rete virtuale di Azure è un costrutto che consente di connettere le schede di interfaccia di rete virtuale a una rete virtuale per consentire le comunicazioni basate su TCP/IP tra dispositivi di rete abilitati.An Azure Virtual Network is a construct that allows you to connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network enabled devices. Le macchine virtuali di Azure connesse a una rete virtuale di Azure possono connettersi ai dispositivi nella stessa rete virtuale di Azure, in diverse reti virtuali di Azure, su Internet o persino in reti locali.Azure Virtual Machines connected to an Azure Virtual Network are able to connect to devices on the same Azure Virtual Network, different Azure Virtual Networks, on the Internet or even on your own on-premises networks.

In questo articolo verrà illustrato un insieme di procedure consigliate per la sicurezza della rete di Azure,In this article we will discuss a collection of Azure network security best practices. derivate dalla nostra esperienza con la rete di Azure e dalle esperienze di altri clienti.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Per ogni procedura consigliata verrà illustrato:For each best practice, we’ll explain:

  • Qual è la procedura consigliataWhat the best practice is
  • Il motivo per cui si vuole abilitare tale procedura consigliataWhy you want to enable that best practice
  • Quale potrebbe essere il risultato se non fosse possibile abilitare la procedura consigliataWhat might be the result if you fail to enable the best practice
  • Alternative possibili alla procedura consigliataPossible alternatives to the best practice
  • Come imparare ad abilitare la procedura consigliataHow you can learn to enable the best practice

Il presente articolo sulle procedure consigliate per la sicurezza della rete di Azure si basa su un parere condiviso, nonché sulle capacità e sui set di funzionalità della piattaforma di Azure esistenti al momento della scrittura.This Azure Network Security Best Practices article is based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Le opinioni e le tecnologie cambiano nel tempo e questo articolo verrà aggiornato regolarmente per riflettere tali modifiche.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Le procedure consigliate per la sicurezza della rete di Azure discusse in questo articolo includono:Azure Network security best practices discussed in this article include:

  • Segmentare logicamente le subnetLogically segment subnets
  • Controllare il comportamento di routingControl routing behavior
  • Abilitare il tunneling forzatoEnable Forced Tunneling
  • Usare i dispositivi di rete virtualeUse Virtual network appliances
  • Distribuire reti perimetrali per la suddivisione in zone di sicurezzaDeploy DMZs for security zoning
  • Evitare l'esposizione a Internet con collegamenti WAN dedicatiAvoid exposure to the Internet with dedicated WAN links
  • Ottimizzare il tempo di attività e le prestazioniOptimize uptime and performance
  • Usare il bilanciamento del carico globaleUse global load balancing
  • Disabilitare l'accesso RDP alle macchine virtuali di AzureDisable RDP Access to Azure Virtual Machines
  • Abilitare il Centro sicurezza di AzureEnable Azure Security Center
  • Estendere il data center in AzureExtend your datacenter into Azure

Segmentare logicamente le subnetLogically segment subnets

Le reti virtuali di Azure sono simili a una rete LAN nella rete locale.Azure Virtual Networks are similar to a LAN on your on-premises network. Una rete virtuale di Azure prevede di creare una singola rete basata sullo spazio indirizzi IP privato in cui è possibile inserire tutte le macchine virtuali di Azure.The idea behind an Azure Virtual Network is that you create a single private IP address space-based network on which you can place all your Azure Virtual Machines. Gli spazi indirizzi IP privati disponibili sono negli intervalli di Classe A (10.0.0.0/8), Classe B (172.16.0.0/12) e Classe C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Analogamente alle operazioni svolte in locale, è consigliabile segmentare in subnet lo spazio indirizzi più ampio.Similar to what you do on-premises, you should segment the larger address space into subnets. Per creare le subnet, è possibile usare principi di suddivisione in subnet basati su CIDR.You can use CIDR based subnetting principles to create your subnets.

Il routing tra le subnet verrà eseguito automaticamente e non sarà necessario configurare manualmente le tabelle di routing.Routing between subnets will happen automatically and you do not need to manually configure routing tables. Tuttavia, per impostazione predefinita non sono presenti controlli di accesso di rete tra le subnet create nella rete virtuale di Azure.However, the default setting is that there are no network access controls between the subnets you create on the Azure Virtual Network. Per creare controlli di accesso di rete tra subnet, è necessario inserire un elemento tra le subnet.In order to create network access controls between subnets, you’ll need to put something between the subnets.

Uno degli elementi che è possibile usare per eseguire questa operazione è un gruppo di sicurezza di rete (NSG).One of the things you can use to accomplish this task is a Network Security Group (NSG). Gli NSG sono semplici dispositivi di ispezione dei pacchetti con stato che usano l'approccio a 5 tuple (indirizzo IP di origine, porta di origine, IP di destinazione, porta di destinazione e protocollo di livello 4) per creare regole allow/deny per il traffico di rete.NSGs are simple stateful packet inspection devices that use the 5-tuple (the source IP, source port, destination IP, destination port, and layer 4 protocol) approach to create allow/deny rules for network traffic. È possibile consentire o negare il traffico da e verso un singolo indirizzo IP, a e da più indirizzi IP o persino a e da intere subnet.You can allow or deny traffic to and from single IP address, to and from multiple IP addresses or even to and from entire subnets.

L'uso di NSG per il controllo di accesso di rete tra subnet consente di inserire le risorse che appartengono alla stessa area di protezione o allo stesso ruolo nelle proprie subnet.Using NSGs for network access control between subnets enables you to put resources that belong to the same security zone or role in their own subnets. Ad esempio, si pensi a una semplice applicazione a 3 livelli con un livello Web, un livello di logica di applicazione e un livello di database.For example, think of a simple 3-tier application that has a web tier, an application logic tier and a database tier. Si inseriscono le macchine virtuali che appartengono a ciascuno di questi livelli nella propria subnet,You put virtual machines that belong to each of these tiers into their own subnets. quindi si usano gli NSG per controllare il traffico tra le subnet:Then you use NSGs to control traffic between the subnets:

  • Le macchine virtuali a livello Web possono avviare connessioni solo alle macchine a livello di logica dell'applicazione e accettare solo connessioni da InternetWeb tier virtual machines can only initiate connections to the application logic machines and can only accept connections from the Internet
  • Le macchine virtuali a livello di logica dell'applicazione possono avviare connessioni solo con un livello database e accettare solo connessioni dal livello WebApplication logic virtual machines can only initiate connections with database tier and can only accept connections from the web tier
  • Le macchine virtuali a livello database non possono avviare alcuna connessione all'esterno della propria subnet e possono accettare solo connessioni dal livello di logica dell'applicazioneDatabase tier virtual machines cannot initiate connection with anything outside of their own subnet and can only accept connections from the application logic tier

Per altre informazioni sui gruppi di sicurezza di rete e su come è possibile usarli per segmentare logicamente le reti virtuali di Azure, vedere l'articolo Che cos'è un gruppo di sicurezza di rete (NSG).To learn more about Network Security Groups and how you can use them to logically segment your Azure Virtual Networks, please read the article What is a Network Security Group (NSG).

Controllare il comportamento di routingControl routing behavior

Quando si inserisce una macchina virtuale in una rete virtuale di Azure, si noterà che la macchina virtuale può connettersi a qualsiasi altra macchina virtuale nella stessa rete virtuale Azure, anche se le altre macchine virtuali si trovano in subnet diverse.When you put a virtual machine on an Azure Virtual Network, you’ll notice that the virtual machine can connect to any other virtual machine on the same Azure Virtual Network, even if the other virtual machines are on different subnets. Il motivo per cui questo è possibile è che esiste un insieme di route di sistema, abilitate per impostazione predefinita, che consente questo tipo di comunicazione.The reason why this is possible is that there is a collection of system routes that are enabled by default that allow this type of communication. Queste route predefinite consentono alle macchine virtuali nella stessa rete virtuale di Azure di avviare le connessioni tra loro e con Internet (per le comunicazioni in uscita solo con Internet).These default routes allow virtual machines on the same Azure Virtual Network to initiate connections with each other, and with the Internet (for outbound communications to the Internet only).

Nonostante le route di sistema predefinite siano utili per molti scenari di distribuzione, in alcuni casi si vuole personalizzare la configurazione del routing per le distribuzioni.While the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Queste personalizzazioni permettono di configurare l'indirizzo hop successivo in modo da raggiungere destinazioni specifiche.These customizations will allow you to configure the next hop address to reach specific destinations.

È consigliabile configurare route definite dall'utente quando si distribuisce un dispositivo di sicurezza di rete virtuale, che verrà illustrato in una procedura consigliata successiva.We recommend that you configure User Defined Routes when you deploy a virtual network security appliance, which we’ll talk about in a later best practice.

Nota

Le route definite dall'utente non sono necessarie e le route di sistema predefinite funzionano nella maggior parte dei casi.user Defined Routes are not required and the default system routes works in most instances.

Per altre informazioni sulle route definite dall'utente e su come configurarle, vedere l'articolo Cosa sono le route definite dall'utente e l'inoltro IP.You can learn more about User Defined Routes and how to configure them by reading the article What are User Defined Routes and IP Forwarding.

Abilitare il tunneling forzatoEnable Forced Tunneling

Per comprendere meglio il tunneling forzato, è utile comprendere cosa si intende per "split tunneling".To better understand forced tunneling, it’s useful to understand what “split tunneling” is. L'esempio più comune di split tunneling è visibile nelle connessioni VPN.The most common example of split tunneling is seen with VPN connections. Si supponga di stabilire una connessione VPN da una camera d'albergo alla propria rete aziendale.Imagine that you establish a VPN connection from your hotel room to your corporate network. Questa connessione consente di accedere alle risorse aziendali e tutte le comunicazioni alla rete aziendale passano attraverso il tunnel VPN.This connection allows you to access corporate resources and all communications to your corporate network go through the VPN tunnel.

Cosa accade quando ci si vuole connettere alle risorse in Internet?What happens when you want to connect to resources on the Internet? Quando è abilitato lo split tunneling, tali connessioni passano direttamente a Internet e non attraverso il tunnel VPN.When split tunneling is enabled, those connections go directly to the Internet and not through the VPN tunnel. Alcuni esperti di sicurezza lo considerano un potenziale rischio e quindi consigliano di disabilitare lo split tunneling e di far passare tutte le connessioni, che siano destinate a Internet o alle risorse aziendali, attraverso il tunnel VPN.Some security experts consider this to be a potential risk and therefore recommend that split tunneling be disabled and all connections, those destined for the Internet and those destined for corporate resources, go through the VPN tunnel. Il vantaggio di questa operazione è che le connessioni a Internet vengono quindi forzate attraverso i dispositivi di sicurezza di rete aziendale, il che non accadrebbe se il client VPN fosse connesso a Internet di fuori del tunnel VPN.The advantage of doing this is that connections to the Internet are then forced through the corporate network security devices, which wouldn’t be the case if the VPN client connected to the Internet outside of the VPN tunnel.

Torniamo ora alle macchine virtuali in una rete virtuale di Azure.Now let’s bring this back to virtual machines on an Azure Virtual Network. Le route predefinite per una rete virtuale di Azure consentono alle macchine virtuali di inviare traffico a Internet.The default routes for an Azure Virtual Network allow virtual machines to initiate traffic to the Internet. Anche questo può rappresentare un rischio per la sicurezza, perché le connessioni in uscita potrebbero aumentare la superficie di attacco di una macchina virtuale ed essere sfruttate da utenti malintenzionati.This too can represent a security risk, as these outbound connections could increase the attack surface of a virtual machine and be leveraged by attackers. Per questo motivo, è consigliabile abilitare il tunneling forzato su macchine virtuali quando è disponibile una connettività cross-premise tra la rete virtuale di Azure e la rete locale.For this reason, we recommend that you enable forced tunneling on your virtual machines when you have cross-premises connectivity between your Azure Virtual Network and your on-premises network. Si discuterà della connettività cross-premise più avanti in questo documento sulle procedure consigliate per le reti di Azure.We will talk about cross premises connectivity later in this Azure networking best practices document.

Se non si ha una connessione cross-premise, assicurarsi che sia possibile sfruttare i gruppi di sicurezza di rete (descritti in precedenza) o i dispositivi di sicurezza di rete virtuali di Azure (illustrati di seguito) per impedire le connessioni in uscita a Internet dalle macchine virtuali di Azure.If you do not have a cross premises connection, make sure you take advantage of Network Security Groups (discussed earlier) or Azure virtual network security appliances (discussed next) to prevent outbound connections to the Internet from your Azure Virtual Machines.

Per altre informazioni sul tunneling forzato e su come abilitarlo, vedere l'articolo Configurare il tunneling forzato con PowerShell e Azure Resource Manager.To learn more about forced tunneling and how to enable it, please read the article Configure Forced Tunneling using PowerShell and Azure Resource Manager.

Usare i dispositivi di rete virtualeUse virtual network appliances

Nonostante i gruppi di sicurezza di rete e il routing definito dall'utente possano offrire un certo grado di sicurezza di rete ai livelli di rete e di trasporto del modello OSI, in alcune situazioni sarà opportuno o necessario abilitare la sicurezza sugli alti livelli dello stack.While Network Security Groups and User Defined Routing can provide a certain measure of network security at the network and transport layers of the OSI model, there are going to be situations where you’ll want or need to enable security at high levels of the stack. In tali situazioni, è consigliabile distribuire i dispositivi di sicurezza di rete virtuale forniti dai partner di Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

I dispositivi di sicurezza di rete di Azure possono offrire livelli di sicurezza notevolmente migliorati rispetto a quanto offerto dai controlli a livello di rete.Azure network security appliances can deliver significantly enhanced levels of security over what is provided by network level controls. Tra le funzionalità di sicurezza di rete fornite da dispositivi di sicurezza di rete virtuale sono incluse le seguenti:Some of the network security capabilities provided by virtual network security appliances include:

  • Funzionalità di firewallFirewalling
  • Rilevamento intrusione/Prevenzione intrusioniIntrusion detection/Intrusion Prevention
  • Gestione vulnerabilitàVulnerability management
  • Controllo applicazioneApplication control
  • Rilevamento anomalie basato su reteNetwork-based anomaly detection
  • Filtro WebWeb filtering
  • AntivirusAntivirus
  • Protezione botnetBotnet protection

Se è necessario un livello di sicurezza di rete più elevato, ottenibile con i controlli di accesso a livello di rete, è consigliabile indagare e distribuire i dispositivi di sicurezza di rete virtuale di Azure.If you require a higher level of network security than you can obtain with network level access controls, then we recommend that you investigate and deploy Azure virtual network security appliances.

Per informazioni sui dispositivi di sicurezza della rete virtuale di Azure disponibili e sulle relative capacità, visitare Azure Marketplace e cercare "sicurezza" e "sicurezza di rete".To learn about what Azure virtual network security appliances are available, and about their capabilities, please visit the Azure Marketplace and search for “security” and “network security”.

Distribuire reti perimetrali per la suddivisione in zone di sicurezzaDeploy DMZs for security zoning

Una "rete perimetrale" è un segmento di rete fisica o logica che è progettato per fornire un ulteriore livello di sicurezza tra le risorse e Internet.A DMZ or “perimeter network” is a physical or logical network segment that is designed to provide an additional layer of security between your assets and the Internet. Lo scopo della rete perimetrale è inserire i dispositivi di controllo di accesso di rete specializzati al margine della rete perimetrale in modo che sia consentito solo il traffico desiderato oltre il dispositivo di sicurezza di rete e nella rete virtuale di Azure.The intent of the DMZ is to place specialized network access control devices on the edge of the DMZ network so that only desired traffic is allowed past the network security device and into your Azure Virtual Network.

Le reti perimetrali sono utili perché permettono di concentrare le operazioni di gestione, monitoraggio, registrazione e creazione di report del controllo di accesso alla rete sui dispositivi al margine della rete virtuale di Azure.DMZs are useful because you can focus your network access control management, monitoring, logging and reporting on the devices at the edge of your Azure Virtual Network. In questo caso, in genere si abilitano la prevenzione DDoS, i sistemi di rilevamento intrusione/prevenzione intrusioni (IDS/IPS), le regole e i criteri dei firewall, il filtro Web, il software antimalware per la rete e molto altro.Here you would typically enable DDoS prevention, Intrusion Detection/Intrusion Prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware and more. I dispositivi di sicurezza di rete sono posizionati tra Internet e la rete virtuale di Azure e hanno un'interfaccia su entrambe le reti.The network security devices sit between the Internet and your Azure Virtual Network and have an interface on both networks.

Nonostante questa sia la progettazione di base di una rete perimetrale, esistono molte diverse progettazioni di rete perimetrale, come ad esempio back to back, tri-homed, multihomed e altre.While this is the basic design of a DMZ, there are many different DMZ designs, such as back-to-back, tri-homed, multi-homed, and others.

Per tutte le distribuzioni di sicurezza elevata è consigliabile prendere in considerazione la distribuzione di una rete perimetrale per migliorare il livello di sicurezza di rete per le risorse di Azure.We recommend for all high security deployments that you consider deploying a DMZ to enhance the level of network security for your Azure resources.

Per altre informazioni sulle reti perimetrali e sulla relativa distribuzione in Azure, vedere l'articolo Servizi cloud Microsoft e sicurezza di rete.To learn more about DMZs and how to deploy them in Azure, please read the article Microsoft Cloud Services and Network Security.

Molte organizzazioni hanno scelto la strada dell'IT ibrido.Many organizations have chosen the Hybrid IT route. Nell'ambiente IT ibrido, alcune delle informazioni sulla società si trovano in Azure, mentre altre rimangono in locale.In hybrid IT, some of the company’s information assets are in Azure, while others remain on-premises. In molti casi alcuni componenti di un servizio verranno eseguiti in Azure mentre altri componenti resteranno in locale.In many cases some components of a service will be running in Azure while other components remain on-premises.

In uno scenario IT ibrido generalmente è presente un certo tipo di connettività cross-premise,In the hybrid IT scenario, there is usually some type of cross-premises connectivity. che consente alla società di connettere le proprie reti locali alle reti virtuali di Azure.This cross-premises connectivity allows the company to connect their on-premises networks to Azure Virtual Networks. Sono disponibili due soluzioni di connettività cross-premise:There are two cross-premises connectivity solutions available:

  • Da sito a VPNSite-to-site VPN
  • ExpressRouteExpressRoute

VPN da sito a sito rappresenta una connessione privata virtuale tra la rete locale e una rete virtuale di Azure.Site-to-site VPN represents a virtual private connection between your on-premises network and an Azure Virtual Network. Questa connessione viene eseguita via Internet e consente di inviare le informazioni attraverso un "tunnel" all'interno di un collegamento crittografato tra la rete e Azure.This connection takes place over the Internet and allows you to “tunnel” information inside an encrypted link between your network and Azure. La rete VPN da sito a sito è una tecnologia sicura e collaudata, che viene distribuita da aziende di ogni dimensione ormai da decenni.Site-to-site VPN is a secure, mature technology that has been deployed by enterprises of all sizes for decades. La crittografia del tunnel viene eseguita usando la modalità tunnel IPsec.Tunnel encryption is performed using IPsec tunnel mode.

Nonostante la tecnologia VPN da sito a sito sia attendibile, affidabile e consolidata, il traffico all'interno del tunnel attraversa comunque Internet.While site-to-site VPN is a trusted, reliable, and established technology, traffic within the tunnel does traverse the Internet. Per di più, la larghezza di banda è relativamente vincolata a un massimo di circa 200 Mbps.In addition, bandwidth is relatively constrained to a maximum of about 200Mbps.

Se si richiede un livello di sicurezza o prestazioni eccezionale per le connessioni cross-premise, è consigliabile usare Azure ExpressRoute per la connettività cross-premise.If you require an exceptional level of security or performance for your cross-premises connections, we recommend that you use Azure ExpressRoute for your cross-premises connectivity. ExpressRoute è un collegamento WAN dedicato tra il percorso locale o un provider di hosting di Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or an Exchange hosting provider. Dal momento che si tratta di una connessione di telecomunicazioni, i dati non vengono trasmessi via Internet e quindi non sono esposti a potenziali rischi inerenti alle comunicazioni Internet.Because this is a telco connection, your data doesn’t travel over the Internet and therefore is not exposed to the potential risks inherent in Internet communications.

Per altre informazioni sul funzionamento di Azure ExpressRoute e sulla relativa distribuzione, vedere l'articolo Panoramica tecnica relativa a ExpressRoute.To learn more about how Azure ExpressRoute works and how to deploy, please read the article ExpressRoute Technical Overview.

Ottimizzare il tempo di attività e le prestazioniOptimize uptime and performance

La triade di riservatezza, integrità e disponibilità rappresenta il modello di sicurezza più influente del momento, realizzato nel principio CIA (Confidentiality, Integrity & Availability).Confidentiality, integrity and availability (CIA) comprise the triad of today’s most influential security model. La riservatezza riguarda la crittografia e la privacy, l'integrità consiste nell'assicurarsi che i dati non vengano modificati da personale non autorizzato e la disponibilità consiste nell'assicurarsi che gli utenti autorizzati riescano ad accedere alle informazioni per cui sono autorizzati.Confidentiality is about encryption and privacy, integrity is about making sure that data is not changed by unauthorized personnel, and availability is about making sure that authorized individuals are able to access the information they are authorized to access. La carenza in una di queste aree rappresenta una potenziale violazione della sicurezza.Failure in any one of these areas represents a potential breach in security.

La disponibilità può essere considerata come una questione di tempi di attività e di prestazioni.Availability can be thought of as being about uptime and performance. Se un servizio non è attivo, non è possibile accedere alle informazioni.If a service is down, information can’t be accessed. Se le prestazioni sono talmente insufficienti da rendere i dati inutilizzabili, sarà quindi possibile considerare che i dati non siano accessibili.If performance is so poor as to make the data unusable, then we can consider the data to be inaccessible. Di conseguenza, dal punto di vista della sicurezza, è necessario fare del proprio meglio per assicurarsi che i servizi offrano sempre prestazioni e tempi di attività ottimali.Therefore, from a security perspective, we need to do whatever we can to make sure our services have optimal uptime and performance. Uno dei metodi più diffusi ed efficaci per migliorare le prestazioni e la disponibilità consiste nel ricorrere al bilanciamento del carico.A popular and effective method used to enhance availability and performance is to use load balancing. Il bilanciamento del carico è un metodo di distribuzione del traffico di rete tra server che fanno parte di un servizio.Load balancing is a method of distributing network traffic across servers that are part of a service. Ad esempio, se dei server Web front-end fanno parte del servizio, è possibile usare il bilanciamento del carico per distribuire il traffico tra più server Web front-end.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Questa distribuzione del traffico aumenta la disponibilità perché se uno dei server Web non è più disponibile, il servizio di bilanciamento del carico interrompe l'invio di traffico a tale server, reindirizzandolo verso i server che sono ancora online.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. Il bilanciamento del carico favorisce anche le prestazioni, perché il sovraccarico di processore, rete e memoria per l'elaborazione delle richieste viene distribuito tra tutti server con carico bilanciato.Load balancing also helps performance, because the processor, network and memory overhead for serving requests is distributed across all the load balanced servers.

È consigliabile impiegare il bilanciamento del carico ogni volta possibile e quando adeguato ai servizi.We recommend that you employ load balancing whenever you can, and as appropriate for your services. La questione dell'adeguatezza verrà affrontata nelle sezioni seguenti: a livello di rete virtuale di Azure, Azure offre tre opzioni di bilanciamento del carico principali:We’ll address appropriateness in the following sections: At the Azure Virtual Network level, Azure provides you with three primary load balancing options:

  • Bilanciamento del carico basato su HTTPHTTP-based load balancing
  • Bilanciamento del carico esternoExternal load balancing
  • Bilanciamento del carico internoInternal load balancing

Bilanciamento del carico basato su HTTPHTTP-based Load Balancing

Il bilanciamento del carico basato su HTTP consente di decidere a quale server inviare le connessioni che usano le caratteristiche del protocollo HTTP.HTTP-based load balancing bases decisions about what server to send connections using characteristics of the HTTP protocol. Azure offre un servizio di bilanciamento del carico HTTP il cui nome è Gateway applicazione.Azure has an HTTP load balancer that goes by the name of Application Gateway.

È consigliabile usare Gateway applicazione di Azure nei casi seguenti:We recommend that you us Azure Application Gateway when:

  • Applicazioni che necessitano delle richieste provenienti dalla stessa sessione utente/client per raggiungere la stessa macchina virtuale back-end,Applications that require requests from the same user/client session to reach the same back-end virtual machine. ad esempio applicazioni carrello e server di posta Web.Examples of this would be shopping cart apps and web mail servers.
  • Applicazioni che hanno la funzione di liberare le server farm Web dal sovraccarico della terminazione SSL sfruttando la funzionalità di offload SSL del gateway applicazione.Applications that want to free web server farms from SSL termination overhead by taking advantage of Application Gateway’s SSL offload feature.
  • Applicazioni, ad esempio la rete per la distribuzione di contenuti, che necessitano che più richieste HTTP nella stessa connessione TCP con esecuzione prolungata vengano instradate/bilanciate in server back-end diversi.Applications, such as a content delivery network, that require multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Per altre informazioni sul funzionamento del gateway applicazione Azure e su come è possibile usarlo nelle distribuzioni, vedere l'articolo Panoramica del gateway applicazione.To learn more about how Azure Application Gateway works and how you can use it in your deployments, read the article Application Gateway Overview.

Bilanciamento del carico esternoExternal Load Balancing

Il bilanciamento del carico esterno si verifica quando le connessioni in ingresso da Internet hanno un carico bilanciato tra i server che si trovano in una rete virtuale di Azure.External load balancing takes place when incoming connections from the Internet are load balanced among your servers located in an Azure Virtual Network. Il servizio di bilanciamento del carico esterno di Azure può fornire questa funzionalità ed è consigliabile usarla quando non sono necessarie sessioni permanenti o l'offload SSL.The Azure External Load balancer can provide you this capability and we recommend that you use it when you don’t require the sticky sessions or SSL offload.

A differenza del servizio di bilanciamento del carico basato su HTTP, il bilanciamento del carico esterno usa informazioni livello di rete e trasporto del modello di rete OSI per decidere su quali server bilanciare il carico della connessione.In contrast to HTTP-based load balancing, the External Load Balancer uses information at the network and transport layers of the OSI networking model to make decisions on what server to load balance connection to.

È consigliabile usare il bilanciamento del carico esterno ogni volta che le applicazioni senza stato accettano le richieste in ingresso da Internet.We recommend that you use External Load Balancing whenever you have stateless applications accepting incoming requests from the Internet.

Per altre informazioni sul funzionamento del servizio di bilanciamento del carico esterno di Azure e su come è possibile distribuirlo, vedere l'articolo Introduzione alla creazione di un servizio di bilanciamento del carico Internet in Resource Manager tramite PowerShell.To learn more about how the Azure External Load Balancer works and how you can deploy it, please read the article Get Started Creating an Internet Facing Load Balancer in Resource Manager using PowerShell.

Bilanciamento del carico internoInternal Load Balancing

Il bilanciamento del carico interno è simile al bilanciamento del carico esterno e usa lo stesso meccanismo per bilanciare il carico delle connessioni ai server su cui si basano.Internal load balancing is similar to external load balancing and uses the same mechanism to load balance connections to the servers behind them. L'unica differenza è che il servizio di bilanciamento del carico in questo caso accetta connessioni da macchine virtuali che non si trovano su Internet.The only difference is that the load balancer in this case is accepting connections from virtual machines that are not on the Internet. Nella maggior parte dei casi, le connessioni che sono accettate per il bilanciamento del carico possono essere avviate da dispositivi nella rete virtuale di Azure.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure Virtual Network.

È consigliabile usare il bilanciamento del carico interno per gli scenari che trarranno vantaggio da questa funzionalità, ad esempio quando è necessario bilanciare il carico delle connessioni a istanze di SQL Server o ai server Web interni.We recommend that you use internal load balancing for scenarios that benefit from this capability, such as when you need to load balance connections to SQL Servers or internal web servers.

Per altre informazioni sul funzionamento del servizio di bilanciamento del carico interno di Azure e su come è possibile distribuirlo, vedere l'articolo Introduzione alla creazione di un servizio di bilanciamento del carico interno tramite PowerShell.To learn more about how Azure Internal Load Balancing works and how you can deploy it, please read the article Get Started Creating an Internal Load Balancer using PowerShell.

Usare il bilanciamento del carico globaleUse global load balancing

Il cloud computing pubblico rende possibile distribuire applicazioni distribuite a livello globale con componenti situati nei data center di tutto il mondo.Public cloud computing makes it possible to deploy globally distributed applications that have components located in datacenters all over the world. Ciò è possibile in Microsoft Azure a causa della presenza del data center globale di Azure.This is possible on Microsoft Azure due to Azure’s global datacenter presence. A differenza delle tecnologie di bilanciamento del carico menzionate in precedenza, il bilanciamento del carico globale consente di rendere i servizi disponibili anche quando gli interi data center potrebbero non essere disponibili.In contrast to the load balancing technologies mentioned earlier, global load balancing makes it possible to make services available even when entire datacenters might become unavailable.

È possibile ottenere questo tipo di bilanciamento del carico globale in Azure usando Gestione traffico di Azure.You can get this type of global load balancing in Azure by taking advantage of Azure Traffic Manager. Gestione traffico rende possibile bilanciare il carico delle connessioni ai servizi in base alla posizione dell'utente.Traffic Manager makes is possible to load balance connections to your services based on the location of the user.

Ad esempio, se l'utente effettua una richiesta al servizio dall'Unione Europea, la connessione viene indirizzata ai servizi che si trovano in un data center dell'Unione europea.For example, if the user is making a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Questa parte bilanciamento del carico globale di Gestione traffico consente di migliorare le prestazioni perché la connessione al data center più vicino è più veloce rispetto alla connessione ai data center più lontani.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Relativamente alla disponibilità, il bilanciamento del carico globale garantisce che il servizio sia disponibile anche se un intero data center dovesse diventare non disponibile.On the availability side, global load balancing makes sure that your service is available even if an entire datacenter should become unavailable.

Ad esempio, se un data center di Azure dovesse non essere più disponibile a causa di motivi ambientali o di interruzioni del servizio (ad esempio guasti della rete regionale), le connessioni al servizio verranno reindirizzate al più vicino data center online.For example, if an Azure datacenter should become unavailable due to environmental reasons or due to outages (such as regional network failures), connections to your service would be rerouted to the nearest online datacenter. Il bilanciamento del carico globale viene effettuato grazie all'uso dei criteri DNS che è possibile creare in Gestione traffico.This global load balancing is accomplished by taking advantage of DNS policies that you can create in Traffic Manager.

È consigliabile usare Gestione traffico per qualsiasi soluzione cloud sviluppata il cui ambito sia ampiamente distribuito tra più aree e che richieda il massimo livello di tempo di attività possibile.We recommend that you use Traffic Manager for any cloud solution you develop that has a widely distributed scope across multiple regions and requires the highest level of uptime possible.

Per altre informazioni su Gestione traffico di Azure e su come eseguirne la distribuzione, vedere l'articolo Gestione traffico di Azure.To learn more about Azure Traffic Manager and how to deploy it, please read the article What is Traffic Manager.

Disabilitare l'accesso RDP/SSH alle macchine virtuali di AzureDisable RDP/SSH Access to Azure Virtual Machines

È possibile raggiungere le macchine virtuali di Azure usando i protocolli Remote Desktop Protocol (RDP) e Secure Shell (SSH).It is possible to reach Azure Virtual Machines using the Remote Desktop Protocol (RDP)and the Secure Shell (SSH) protocols. Questi protocolli consentono di gestire le macchine virtuali da postazioni remote e sono standard nel computing dei data center.These protocols make it possible to manage virtual machines from remote locations and are standard in datacenter computing.

L'uso di questi protocolli in Internet può provocare tuttavia un potenziale problema di sicurezza perché gli utenti malintenzionati possono usare varie tecniche di attacco di forza bruta per ottenere l'accesso alle macchine virtuali di Azure.The potential security problem with using these protocols over the Internet is that attackers can use various brute force techniques to gain access to Azure Virtual Machines. Una volta che gli utenti malintenzionati avranno ottenuto l'accesso, potranno usare la macchina virtuale come punto di avvio per compromettere gli altri computer nella rete virtuale di Azure o persino per attaccare i dispositivi di rete all'esterno di Azure.Once the attackers gain access, they can use your virtual machine as a launch point for compromising other machines on your Azure Virtual Network or even attack networked devices outside of Azure.

Per questo motivo, è consigliabile disabilitare l'accesso diretto RDP e SSH alle macchine virtuali di Azure da Internet.Because of this, we recommend that you disable direct RDP and SSH access to your Azure Virtual Machines from the Internet. Dopo aver disabilitato l'accesso diretto RDP e SSH da Internet, sono disponibili altre opzioni per accedere a queste macchine virtuali per la gestione remota:After direct RDP and SSH access from the Internet is disabled, you have other options you can use to access these virtual machines for remote management:

  • VPN da punto a sitoPoint-to-site VPN
  • Da sito a VPNSite-to-site VPN
  • ExpressRouteExpressRoute

VPN da punto a sito è un altro termine per indicare una connessione client/server VPN con accesso remoto.Point-to-site VPN is another term for a remote access VPN client/server connection. Una VPN da punto a sito consente a un singolo utente di connettersi a una rete virtuale di Azure via Internet.A point-to-site VPN enables a single user to connect to an Azure Virtual Network over the Internet. Dopo aver stabilito la connessione da punto a sito, l'utente riuscirà a usare RDP o SSH per connettersi a tutte le macchine virtuali presenti nella rete virtuale Azure e a cui l'utente si è connesso con VPN da punto a sito.After the point-to-site connection is established, the user will be able to use RDP or SSH to connect to any virtual machines located on the Azure Virtual Network that the user connected to via point-to-site VPN. Ciò presuppone che l'utente sia autorizzato a raggiungere tali macchine virtuali.This assumes that the user is authorized to reach those virtual machines.

La VPN da punto a sito è più sicura delle connessioni dirette RDP o SSH perché l'utente deve autenticarsi due volte prima di potersi connettere a una macchina virtuale.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a virtual machine. In primo luogo, l'utente deve eseguire l'autenticazione (ed essere autorizzato) per stabilire la connessione VPN da punto a sito; in secondo luogo, l'utente deve eseguire l'autenticazione (ed essere autorizzato) per stabilire la sessione RDP o SSH.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection; second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Una VPN da sito a sito connette un'intera rete a un'altra rete via Internet.A site-to-site VPN connects an entire network to another network over the Internet. È possibile usare una VPN da sito a sito per connettere la rete locale a una rete virtuale di Azure.You can use a site-to-site VPN to connect your on-premises network to an Azure Virtual Network. Se si distribuisce una VPN da sito a sito, gli utenti nella rete locale riusciranno a connettersi alle macchine virtuali nella rete virtuale di Azure usando il protocollo RDP o SSH con una connessione VPN da sito a sito e non sarà necessario consentire l'accesso diretto RDP o SSH via Internet.If you deploy a site-to-site VPN, users on your on-premises network will be able to connect to virtual machines on your Azure Virtual Network by using the RDP or SSH protocol over the site-to-site VPN connection and does not require you to allow direct RDP or SSH access over the Internet.

È anche possibile usare un collegamento WAN dedicato per fornire funzionalità simili alla VPN da sito a sito.You can also use a dedicated WAN link to provide functionality similar to the site-to-site VPN. Le differenze principali sono le seguenti: 1.The main differences are 1. il collegamento WAN dedicato non attraversa Internet e 2.the dedicated WAN link doesn’t traverse the Internet, and 2. i collegamenti WAN dedicati sono in genere più stabili e più efficienti.dedicated WAN links are typically more stable and performant. Azure offre una soluzione di collegamento WAN dedicata in forma di ExpressRoute.Azure provides you a dedicated WAN link solution in the form of ExpressRoute.

Abilitare il Centro sicurezza di AzureEnable Azure Security Center

Il Centro sicurezza di Azure aiuta a impedire, rilevare e rispondere alle minacce offrendo visibilità e controllo avanzati della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza di Azure aiuta a ottimizzare e monitorare la sicurezza di rete offrendo:Azure Security Center helps you optimize and monitor network security by:

  • Suggerimenti per la sicurezza di reteProviding network security recommendations
  • Monitoraggio dello stato della configurazione della sicurezza di reteMonitoring the state of your network security configuration
  • Avvisi relativi alle minacce basate sulla rete a livello di endpoint e di reteAlerting you to network based threats both at the endpoint and network levels

È consigliabile abilitare il Centro sicurezza di Azure per tutte le distribuzioni di Azure.We highly recommend that you enable Azure Security Center for all of your Azure deployments.

Per altre informazioni sul Centro sicurezza di Azure e su come abilitarlo per le distribuzioni, vedere l'articolo Introduzione al Centro sicurezza di Azure.To learn more about Azure Security Center and how to enable it for your deployments, please read the article Introduction to Azure Security Center.

Estendere il data center in Azure in modo sicuroSecurely extend your datacenter into Azure

Molte organizzazioni IT di classe enterprise mirano a espandersi nel cloud piuttosto che aumentare le dimensioni dei data center locali.Many enterprise IT organizations are looking to expand into the cloud instead of growing their on-premises datacenters. Questa espansione rappresenta un'estensione dell'infrastruttura IT esistente nel cloud pubblico.This expansion represents an extension of existing IT infrastructure into the public cloud. Grazie all'uso di più opzioni di connettività cross-premise è possibile gestire le reti virtuali di Azure semplicemente come un'altra subnet nella propria infrastruttura di rete locale.By taking advantage of cross-premises connectivity options it’s possible to treat your Azure Virtual Networks as just another subnet on your on-premises network infrastructure.

È tuttavia necessario affrontare prima una serie di problemi di pianificazione e progettazione.However, there is a lot of planning and design issues that need to be addressed first. Ciò è particolarmente importante nell'area della sicurezza di rete.This is especially important in the area of network security. Uno dei modi migliori per comprendere come avvicinarsi a una simile progettazione è guardare un esempio.One of the best ways to understand how you approach such a design is to see an example.

Microsoft ha creato il Diagramma dell'architettura di riferimento delle estensioni del data center e materiale supplementare per comprendere quale aspetto avrebbe un'estensione del data center.Microsoft has created the Datacenter Extension Reference Architecture Diagram and supporting collateral to help you understand what such a datacenter extension would look like. In tal modo, si avrà un esempio di implementazione di riferimento da consultare per pianificare e progettare un'estensione del data center aziendale sicura nel cloud.This provides an example reference implementation that you can use to plan and design a secure enterprise datacenter extension to the cloud. È consigliabile rivedere questo documento per farsi un'idea dei componenti principali di una soluzione sicura.We recommend that you review this document to get an idea of the key components of a secure solution.

Per altre informazioni su come estendere in modo sicuro il data center in Azure, guardare il video su come estendere il data center in Microsoft Azure.To learn more about how to securely extend your datacenter into Azure, please view the video Extending Your Datacenter to Microsoft Azure.