Funzionalità tecniche per la sicurezza di AzureAzure security technical capabilities

Per consentire ai clienti attuali e potenziali di Azure di comprendere e utilizzare le diverse funzionalità correlate alla sicurezza disponibili nel contesto della piattaforma Azure, Microsoft ha sviluppato una serie di white paper, panoramiche sulla sicurezza, procedure consigliate ed elenchi di controllo.To assist current and prospective Azure customers understand and utilize the various Security-related capabilities available in and surrounding the Azure Platform, Microsoft has developed a series of White Papers, Security Overviews, Best Practices, and Checklists. Gli argomenti variano per ampiezza e livello di approfondimento e vengono aggiornati periodicamente.The topics range in terms of breadth and depth and are updated periodically. Questo documento fa parte di tale serie, come descritto nella sezione di sintesi di seguito.This document is part of that series as summarized in the Abstract section below. Per altre informazioni su questa serie sulla sicurezza di Azure, vedere la pagina all'indirizzo (URL).Further information on this Azure Security series can be found at (URL).

Piattaforma AzureAzure platform

Microsoft Azure è una piattaforma cloud costituita da servizi di infrastruttura e applicazioni, con servizi dati integrati, analisi avanzata e strumenti e servizi per sviluppatori, ospitata nei data center del cloud pubblico Microsoft.Microsoft Azure is a cloud platform comprised of infrastructure and application services, with integrated data services and advanced analytics, and developer tools and services, hosted within Microsoft’s public cloud data centers. I clienti usano Azure per molti diversi scenari e capacità, dalle funzionalità di calcolo, rete e archiviazione di base a servizi app Web e per dispositivi mobili e scenari cloud completi come Internet delle cose, che possono essere usati con tecnologie open source e distribuiti come cloud ibrido oppure ospitati in un data center del cliente.Customers use Azure for many different capacities and scenarios, from basic compute, networking, and storage, to mobile and web app services, to full cloud scenarios like Internet of Things, and can be used with open source technologies, and deployed as hybrid cloud or hosted within a customer’s datacenter. Azure offre tecnologia cloud in blocchi predefiniti per consentire alle aziende di ridurre i costi, velocizzare l'innovazione e gestire i sistemi in modo proattivo.Azure provides cloud technology as building blocks to help companies save costs, innovate quickly, and manage systems proactively. Quando si creano asset IT o se ne esegue la migrazione in un provider di servizi cloud, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli offerti per gestire la sicurezza degli asset basati sul cloud.When you build on, or migrate IT assets to a cloud provider, you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

Microsoft Azure è l'unico provider di servizi di cloud computing che offre una piattaforma applicativa e un'infrastruttura distribuite come servizio coerenti e sicure affinché i team possano operare con diverse competenze di cloud e diversi livelli di complessità dei progetti, con servizi dati integrati e funzionalità di analisi che consentono di ottenere informazioni dai dati ovunque si trovino, in piattaforme sia Microsoft che non Microsoft e in strumenti e framework aperti, e la possibilità di integrare cloud e locale nonché distribuire i servizi cloud di Azure in data center locali.Microsoft Azure is the only cloud computing provider that offers a secure, consistent application platform and infrastructure-as-a-service for teams to work within their different cloud skillsets and levels of project complexity, with integrated data services and analytics that uncover intelligence from data wherever it exists, across both Microsoft and non-Microsoft platforms, open frameworks and tools, providing choice for integrating cloud with on-premises as well deploying Azure cloud services within on-premises datacenters. Nell'ambito di Microsoft Trusted Cloud, i clienti fanno affidamento su Azure per usufruire di livelli di sicurezza, affidabilità, conformità e riservatezza leader del settore, nonché di una vasta rete di persone, partner e processi per il supporto delle organizzazioni nel cloud.As part of the Microsoft Trusted Cloud, customers rely on Azure for industry-leading security, reliability, compliance, privacy, and the vast network of people, partners, and processes to support organizations in the cloud.

Microsoft Azure consente di:With Microsoft Azure, you can:

  • Accelerare l'innovazione con il cloud.Accelerate innovation with the cloud.

  • Basare le app e le decisioni aziendali su informazioni dettagliate.Power business decisions & apps with insights.

  • Creare con facilità e distribuire ovunque.Build freely and deploy anywhere.

  • Proteggere l'azienda.Protect their business.

ScopeScope

Questo white paper si concentra sulle caratteristiche e le funzionalità di sicurezza che supportano i componenti principali di Microsoft Azure, ossia Archiviazione di Microsoft Azure, i database SQL di Microsoft Azure, il modello delle macchine virtuali di Microsoft Azure e gli strumenti e l'infrastruttura con cui tutto viene gestito.The focal point of this whitepaper concerns security features and functionality supporting Microsoft Azure’s core components, namely Microsoft Azure Storage, Microsoft Azure SQL Databases, Microsoft Azure’s virtual machine model, and the tools and infrastructure that manage it all. Questo white paper illustra le funzionalità tecniche di Microsoft Azure a disposizione dei clienti affinché possano svolgere il proprio ruolo nell'ambito della protezione della sicurezza e della riservatezza dei dati.This white paper focus on Microsoft Azure technical capabilities available to you as customers to fulfil their role in protecting the security and privacy of their data.

Comprendere questo modello di responsabilità condivisa è di importanza fondamentale per i clienti che passano al cloud.The importance of understanding this shared responsibility model is essential for customers who are moving to the cloud. I provider di servizi cloud offrono notevoli vantaggi ai fini della sicurezza e della conformità, ma tali vantaggi non esentano il cliente dal proteggere i propri utenti, le proprie applicazioni e i servizi offerti.Cloud providers offer considerable advantages for security and compliance efforts, but these advantages do not absolve the customer from protecting their users, applications, and service offerings.

Per le soluzioni IaaS, il cliente è responsabile o condivide la responsabilità di proteggere e gestire il sistema operativo, la configurazione di rete, le applicazioni, le identità, i client e i dati.For IaaS solutions, the customer is responsible or has a shared responsibility for securing and managing the operating system, network configuration, applications, identity, clients, and data. Per le soluzioni PaaS, basate su distribuzioni IaaS, il cliente è responsabile o condivide la responsabilità di proteggere e gestire le applicazioni, le identità, i client e i dati.PaaS solutions build on IaaS deployments, the customer is still responsible or has a shared responsibility for securing and managing applications, identity, clients, and data. Il cliente è comunque responsabile anche per le soluzioni SaaS.For SaaS solutions, Nonetheless, the customer continues to be accountable. Deve garantire che i dati siano classificati correttamente e condivide la responsabilità della gestione degli utenti e dei dispositivi endpoint.They must ensure that data is classified correctly, and they share a responsibility to manage their users and end-point devices.

Questo documento non offre una descrizione dettagliata di componenti correlati della piattaforma Microsoft Azure come Siti Web di Azure, Azure Active Directory, HDInsight, Servizi multimediali e altri servizi basati sui componenti principali.This document does not provide detailed coverage of any of the related Microsoft Azure platform components such as Azure Web Sites, Azure Active Directory, HDInsight, Media Services, and other services that are layered atop the core components. Nonostante venga offerto un livello minimo di informazioni generali, si presuppone che i lettori abbiano familiarità con i concetti di base di Azure descritti in altri documenti di riferimento forniti da Microsoft e inclusi nei collegamenti disponibili in questo white paper.Although a minimum level of general information is provided, readers are assumed familiar with Azure basic concepts as described in other references provided by Microsoft and included in links provided in this white paper.

Funzionalità tecniche per la sicurezza disponibili per le responsabilità dell'utente (cliente): quadro generaleAvailable security technical capabilities to fulfil user (Customer) responsibility - Big picture

Microsoft Azure offre servizi che consentono ai clienti di soddisfare le esigenze di sicurezza, riservatezza e conformità.Microsoft Azure provides services that can help customers meet the security, privacy, and compliance needs. L'immagine seguente illustra i vari servizi di Azure a disposizione degli utenti per creare un'infrastruttura delle applicazioni sicura e conforme basata sugli standard del settore.The Following picture helps explain various Azure services available for users to build a secure and compliant application infrastructure based on industry standards.

Funzionalità tecniche per la sicurezza disponibili: quadro generale

Gestire e controllare le identità e l'accesso degli utenti (protezione)Manage and control identity and user access (Protect)

Azure consente di proteggere le informazioni aziendali e personali gestendo le identità e le credenziali degli utenti e controllando l'accesso.Azure helps you protect business and personal information by enabling you to manage user identities and credentials and control access.

Azure Active DirectoryAzure active directory

Le soluzioni Microsoft di gestione degli accessi e delle identità consentono all'IT di proteggere l'accesso ad applicazioni e risorse nel data center aziendale e nel cloud, abilitando altri livelli di convalida, ad esempio Multi-Factor Authentication e criteri di accesso condizionale.Microsoft identity and access management solutions help IT protect access to applications and resources across the corporate datacenter and into the cloud, enabling additional levels of validation such as multi-factor authentication and conditional access policies. Il monitoraggio delle attività sospette tramite funzioni avanzate di report di sicurezza, controllo e avvisi consente di attenuare i potenziali problemi di sicurezza.Monitoring suspicious activity through advanced security reporting, auditing and alerting helps mitigate potential security issues. Azure Active Directory Premium offre l'accesso Single Sign-On a migliaia di app cloud (SaaS) e alle app Web eseguite in locale.Azure Active Directory Premium provides single sign-on to thousands of cloud (SaaS) apps and access to web apps you run on-premises.

I vantaggi della sicurezza di Azure Active Directory (AD) includono la possibilità di:Security benefits of Azure Active Directory (AD) include the ability to:

  • Creare e gestire una singola identità per ogni utente in un'azienda ibrida, mantenendo sincronizzati utenti, gruppi e dispositivi.Create and manage a single identity for each user across your hybrid enterprise, keeping users, groups, and devices in sync.

  • Offrire l'accesso Single Sign-On alle applicazioni, incluse migliaia di app SaaS preintegrate.Provide single sign-on access to your applications including thousands of pre-integrated SaaS apps.

  • Abilitare la sicurezza dell'accesso alle applicazioni grazie all'autenticazione a più fattori basata su regole per applicazioni locali e cloud.Enable application access security by enforcing rules-based Multi-Factor Authentication for both on-premises and cloud applications.

  • Consentire l'accesso remoto sicuro ad applicazioni Web locali con il proxy di applicazione di Azure AD.Provision secure remote access to on-premises web applications through Azure AD Application Proxy.

Il portale di Azure Active Directory è disponibile nell'ambito del portale di Azure.Azure active directory portal is available a part of azure portal. Da questo dashboard è possibile ottenere una panoramica dello stato dell'organizzazione e passare facilmente alla gestione della directory, degli utenti o dell'accesso alle applicazioni.From this dashboard, you can get an overview of the state of your organization, and easily dive into managing the directory, users, or application access.

Azure Active Directory

Di seguito sono illustrate le funzionalità principali di gestione delle identità di Azure:Following are core Azure Identity management capabilities:

  • Single sign-onSingle sign-on

  • Autenticazione a più fattoriMulti-factor authentication

  • Monitoraggio della sicurezza, avvisi e report basati su Machine LearningSecurity monitoring, alerts, and machine learning-based reports

  • Gestione delle identità e dell'accesso degli utentiConsumer identity and access management

  • Registrazione del dispositivoDevice registration

  • Privileged Identity ManagementPrivileged identity management

  • Identity ProtectionIdentity protection

Single sign-onSingle sign-on

L'accesso Single Sign-On (SSO) consente di accedere a tutte le applicazioni e le risorse necessarie per le attività aziendali effettuando l'accesso una sola volta con un singolo account utente.Single sign-on (SSO) means being able to access all the applications and resources that you need to do business, by signing in only once using a single user account. Dopo aver effettuato l'accesso, è possibile accedere a tutte le applicazioni necessarie senza dover ripetere una seconda volta l'autenticazione (ad esempio, digitando una password).Once signed in, you can access all the applications you need without being required to authenticate (for example, type a password) a second time.

Molte organizzazioni si basano su applicazioni software come un servizio (SaaS), come Office 365, Box e Salesforce, per la produttività degli utenti finali.Many organizations rely upon software as a service (SaaS) applications such as Office 365, Box and Salesforce for end-user productivity. In passato, il personale IT doveva creare e aggiornare singoli account utente in ogni applicazione SaaS e gli utenti dovevano ricordare una password per ogni applicazione SaaS.Historically, IT staff needed to individually create and update user accounts in each SaaS application, and users had to remember a password for each SaaS application.

Azure AD estende l'istanza locale di Active Directory nel cloud, consentendo agli utenti di usare il proprio account aziendale principale non solo per accedere ai dispositivi appartenenti a un dominio e alle risorse della società, ma anche a tutte le applicazioni Web e SaaS necessarie per svolgere il proprio lavoro.Azure AD extends on-premises Active Directory into the cloud, enabling users to use their primary organizational account to not only sign in to their domain-joined devices and company resources, but also all the web and SaaS applications needed for their job.

Non solo gli utenti non devono più gestire diversi set di nomi utente e password, ma è anche possibile eseguire il provisioning o deprovisioning automatico dell'accesso alle applicazioni in base ai gruppi aziendali e al relativo stato di dipendente.Not only do users not have to manage multiple sets of usernames and passwords, application access can be automatically provisioned or de-provisioned based on organizational groups and their status as an employee. Azure AD introduce controlli di governance per la sicurezza e l'accesso che consentono di gestire in modo centralizzato l'accesso degli utenti nelle applicazioni SaaS.Azure AD introduces security and access governance controls that enable you to centrally manage users' access across SaaS applications.

Autenticazione a più fattoriMulti-factor authentication

Azure Multi-Factor Authentication (MFA) è un metodo di autenticazione che richiede l'uso di più metodi di verifica e aggiunge un secondo livello di sicurezza critico agli accessi e alle transazioni degli utenti.Azure Multi-factor authentication (MFA) is a method of authentication that requires the use of more than one verification method and adds a critical second layer of security to user sign-ins and transactions. MFA consente di proteggere l'accesso ai dati e alle applicazioni dell'utente, garantendo al tempo stesso agli utenti una procedura di accesso semplice.MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Offre autenticazione avanzata tramite diverse opzioni di verifica, ad esempio una telefonata, un SMS, una notifica o un codice di verifica dell'app per dispositivi mobili e token OAuth di terze parti.It delivers strong authentication via a range of verification options—phone call, text message, or mobile app notification or verification code and third-party OAuth tokens.

Monitoraggio della sicurezza, avvisi e report basati su Machine LearningSecurity monitoring, alerts, and machine learning-based reports

Monitoraggio della sicurezza, avvisi e report basati su Machine Learning che identificano i modelli di accesso non coerenti per contribuire alla protezione dell'azienda.Security monitoring and alerts and machine learning-based reports that identify inconsistent access patterns can help you protect your business. È possibile usare i report di utilizzo e accesso di Azure Active Directory per ottenere informazioni sull'integrità e sicurezza della directory dell'organizzazione.You can use Azure Active Directory's access and usage reports to gain visibility into the integrity and security of your organization’s directory. Con queste informazioni un amministratore di directory può stabilire meglio dove potrebbero esserci possibili rischi per la sicurezza in modo da poterne pianificare adeguatamente la riduzione.With this information, a directory admin can better determine where possible security risks may lie so that they can adequately plan to mitigate those risks.

Nel portale di Azure o nel portale di Azure Active Directory, i report sono classificati come descritto di seguito:In the Azure portal or through Azure Active directory portal, reports are categorized in the following ways:

  • Report anomalie: contengono eventi di accesso considerati anomali.Anomaly reports – contain sign in events that we found to be anomalous. L'obiettivo è rendere gli utenti consapevoli di tali attività e consentire loro di stabilire se un evento è sospetto.Our goal is to make you aware of such activity and enable you to be able to decide about whether an event is suspicious.

  • Report applicazioni integrate: offrono informazioni dettagliate sull'uso delle applicazioni cloud nell'organizzazione.Integrated Application reports – provide insights into how cloud applications are being used in your organization. Azure Active Directory offre l'integrazione con migliaia di applicazioni cloud.Azure Active Directory offers integration with thousands of cloud applications.

  • Report di errori: segnalano gli errori che possono verificarsi durante il provisioning di account in applicazioni esterne.Error reports – indicate errors that may occur when provisioning accounts to external applications.

  • Report specifici dell'utente: visualizzano i dati del dispositivo/dell'attività di accesso per un utente specifico.User-specific reports – display device/sign in activity data for a specific user.

  • Log attività: contengono un record di tutti gli eventi controllati nelle ultime 24 ore, negli ultimi 7 giorni o negli ultimi 30 giorni, nonché le modifiche alle attività del gruppo e le attività di registrazione e di reimpostazione password.Activity logs – contain a record of all audited events within the last 24 hours, last 7 days, or last 30 days, and group activity changes, and password reset and registration activity.

Gestione delle identità e dell'accesso degli utentiConsumer identity and access management

Azure Active Directory B2C è un servizio di gestione delle identità globale a disponibilità elevata per le applicazioni rivolte agli utenti, con scalabilità fino a centinaia di milioni di identità.Azure Active Directory B2C is a highly available, global, identity management service for consumer-facing applications that scales to hundreds of millions of identities. Il servizio può essere integrato tra piattaforme mobili e Web.It can be integrated across mobile and web platforms. Gli utenti possono accedere a tutte le applicazioni attraverso esperienze personalizzabili usando gli account dei propri social network esistenti o creando nuove credenziali.Your consumers can log on to all your applications through customizable experiences by using their existing social accounts or by creating new credentials.

In passato, per ottenere l'iscrizione e l'accesso degli utenti alle applicazioni, gli sviluppatori di applicazioni scrivevano il proprio codice.In the past, application developers who wanted to sign up and sign in consumers into their applications would have written their own code. E dovevano utilizzare database locali o sistemi per archiviare nomi utente e password.And they would have used on-premises databases or systems to store usernames and passwords. Azure Active Directory B2C offre all'organizzazione un modo migliore per integrare la gestione delle identità degli utenti nelle applicazioni con una piattaforma sicura basata sugli standard e un set completo di criteri estendibili.Azure Active Directory B2C offers your organization a better way to integrate consumer identity management into applications with the help of a secure, standards-based platform, and a large set of extensible policies.

Con Azure Active Directory B2C, gli utenti possono registrarsi alle applicazioni usando gli account di social networking esistenti (Facebook, Google, Amazon, LinkedIn) o creando nuove credenziali (indirizzo di posta elettronica e password o nome utente e password).When you use Azure Active Directory B2C, your consumers can sign up for your applications by using their existing social accounts (Facebook, Google, Amazon, LinkedIn) or by creating new credentials (email address and password, or username and password).

Registrazione del dispositivoDevice registration

Registrazione dispositivo Azure AD rappresenta il fondamento per gli scenari di accesso condizionale basato su dispositivo.Azure AD Device Registration is the foundation for device-based conditional access scenarios. Quando un dispositivo viene registrato, Registrazione dispositivo Azure Active Directory fornisce al dispositivo un'identità che viene usata per autenticare il dispositivo quando l'utente esegue l'accesso.When a device is registered, Azure Active Directory Device Registration provides the device with an identity that is used to authenticate the device when the user signs in. Il dispositivo autenticato e gli attributi del dispositivo possono quindi essere usati per imporre criteri di accesso condizionale per le applicazioni locali e ospitate nel cloud.The authenticated device, and the attributes of the device, can then be used to enforce conditional access policies for applications that are hosted in the cloud and on-premises.

In combinazione con una soluzione di gestione di dispositivi mobili (MDM) come Intune, gli attributi del dispositivo in Azure Active Directory vengono aggiornati con informazioni aggiuntive sul dispositivo.When combined with a mobile device management (MDM) solution such as Intune, the device attributes in Azure Active Directory are updated with additional information about the device. Ciò permette di creare regole di accesso condizionale che subordinano l'accesso dai dispositivi al rispetto dei propri standard di sicurezza e conformità.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance.

Privileged Identity ManagementPrivileged identity management

Azure Active Directory (AD) Privileged Identity Management consente di gestire, controllare e monitorare le identità con privilegi e l'accesso alle risorse in Azure AD e in altri Microsoft Online Services, come Office 365 o Microsoft Intune.Azure Active Directory (AD) Privileged Identity Management lets you manage, control, and monitor your privileged identities and access to resources in Azure AD as well as other Microsoft online services like Office 365 or Microsoft Intune.

In alcuni casi gli utenti hanno la necessità di eseguire operazioni privilegiate in risorse di Azure o Office 365 o altre app SaaS.Sometimes users need to carry out privileged operations in Azure or Office 365 resources, or other SaaS apps. Per questa ragione, è spesso necessario che le organizzazioni concedano agli utenti l'accesso con privilegi permanente in Azure AD.This often means organizations have to give them permanent privileged access in Azure AD. Questo rappresenta un rischio di sicurezza crescente per le risorse ospitate nel cloud poiché le organizzazioni non sono in grado di monitorare completamente le operazioni eseguite dagli utenti con i privilegi amministrativi.This is a growing security risk for cloud-hosted resources because organizations can't sufficiently monitor what those users are doing with their admin privileges. Inoltre, se un account utente con accesso privilegiato è compromesso, tale singola violazione può compromettere la sicurezza dell'intero cloud.Additionally, if a user account with privileged access is compromised, that one breach could impact their overall cloud security. Gestione identità con privilegi di Azure AD consente di risolvere questo rischio.Azure AD Privileged Identity Management helps to resolve this risk.

Azure AD Privileged Identity Management consente di effettuare le operazioni seguenti:Azure AD Privileged Identity Management lets you:

  • Individuare gli utenti amministratori di Azure ADSee which users are Azure AD admins

  • Abilitare l'accesso come amministratore Just-In-Time su richiesta ai Microsoft Online Services, ad esempio Office 365 e IntuneEnable on-demand, "just in time" administrative access to Microsoft Online Services like Office 365 and Intune

  • Ottenere report sulla cronologia degli accessi degli amministratori e sulle modifiche alle assegnazioni degli amministratoriGet reports about administrator access history and changes in administrator assignments

  • Ricevere avvisi relativi all'accesso a un ruolo con privilegiGet alerts about access to a privileged role

Identity ProtectionIdentity protection

Azure AD Identity Protection è un servizio di sicurezza che offre una visualizzazione consolidata degli eventi di rischio e delle potenziali vulnerabilità che interessano le identità dell'organizzazione.Azure AD Identity Protection is a security service that provides a consolidated view into risk events and potential vulnerabilities affecting your organization’s identities. Identity Protection usa le funzionalità esistenti di rilevamento anomalie di Azure Active Directory, disponibili tramite i report Anomalie dell'attività di Azure AD, e introduce nuovi tipi di eventi di rischio che consentono di rilevare le anomalie in tempo reale.Identity Protection uses existing Azure Active Directory’s anomaly detection capabilities (available through Azure AD’s Anomalous Activity Reports), and introduces new risk event types that can detect anomalies in real-time.

Accesso protetto alle risorse in AzureSecured resource access in Azure

La fatturazione costituisce il punto di partenza per il controllo di accesso in Azure.Access control in Azure starts from a billing perspective. Il proprietario di un account Azure, accessibile tramite il Centro account di Azure, è l'amministratore account.The owner of an Azure account, accessed by visiting the Azure Accounts Center, is the Account Administrator (AA). Le sottoscrizioni sono contenitori per la fatturazione, ma vengono usate anche come limiti per la sicurezza: ogni sottoscrizione ha un Amministratore del servizio (SA) che può aggiungere, rimuovere e modificare le risorse di Azure nella sottoscrizione tramite il portale di Azure.Subscriptions are a container for billing, but they also act as a security boundary: each subscription has a Service Administrator (SA) who can add, remove, and modify Azure resources in that subscription by using the Azure portal. L'Amministratore del servizio predefinito di una nuova sottoscrizione è l'Amministratore dell'account, ma quest'ultimo può modificare l'Amministratore del servizio nel Centro account di Azure.The default SA of a new subscription is the AA, but the AA can change the SA in the Azure Accounts Center.

Accesso protetto alle risorse in Azure

Le sottoscrizioni dispongono anche di un'associazione a una directory.Subscriptions also have an association with a directory. Una directory definisce un set di utenti.The directory defines a set of users. Possono essere utenti dell'azienda o dell'istituto di istruzione che ha creato la directory oppure utenti esterni, ossia utenti con account Microsoft.These can be users from the work or school that created the directory, or they can be external users (that is, Microsoft Accounts). Le sottoscrizioni sono accessibili da un sottogruppo di questi utenti della directory che sono stati nominati Amministratori del servizio (SA) o Co-amministratori (CA); l'unica eccezione è che, per motivi di compatibilità, gli account Microsoft (precedentemente Windows Live ID) possono essere nominati SA o CA senza essere presenti nella directory.Subscriptions are accessible by a subset of those directory users who have been assigned as either Service Administrator (SA) or Co-Administrator (CA); the only exception is that, for legacy reasons, Microsoft Accounts (formerly Windows Live ID) can be assigned as SA or CA without being present in the directory.

Le aziende orientate sulla sicurezza devono concedere ai propri dipendenti la quantità esatta di autorizzazioni di cui necessitano.Security-oriented companies should focus on giving employees the exact permissions they need. un numero eccessivo di autorizzazioni può esporre un account agli attacchi.Too many permissions can expose an account to attackers. Un numero di autorizzazioni insufficiente impedisce ai dipendenti di svolgere il proprio lavoro in modo efficiente.Too few permissions mean that employees can't get their work done efficiently. Il controllo degli accessi in base al ruolo di Azure consente di risolvere questo problema offrendo una gestione specifica degli accessi per Azure.Azure Role-Based Access Control (RBAC) helps address this problem by offering fine-grained access management for Azure.

<span data-ttu-id="12fd2-224">Accesso protetto alle risorse</span><span class="sxs-lookup"><span data-stu-id="12fd2-224">Secured resource access</span></span>

Usando il Controllo degli accessi in base al ruolo, è possibile separare i compiti all'interno del team e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il proprio lavoro.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Invece di concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, è possibile consentire solo determinate azioni.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, you can allow only certain actions. Ad esempio, usare il Controllo degli accessi in base al ruolo per consentire a un dipendente di gestire le macchine virtuali in una sottoscrizione, mentre un altro utente può gestire i database SQL della stessa sottoscrizione.For example, use RBAC to let one employee manage virtual machines in a subscription, while another can manage SQL databases within the same subscription.

Accesso protetto alle risorse in Azure (controllo degli accessi in base al ruolo)

Sicurezza e crittografia dei dati in Azure (protezione)Azure data security and encryption (protect)

Uno degli aspetti fondamentali della protezione dei dati nel cloud consiste nel tenere conto dei possibili stati in cui possono trovarsi i dati e dei controlli disponibili per tale stato.One of the keys to data protection in the cloud is accounting for the possible states in which your data may occur, and what controls are available for that state. In relazione alle procedure consigliate per la sicurezza e la crittografia dei dati in Azure, le raccomandazioni riguardano gli stati dei dati seguenti.For Azure data security and encryption best practices the recommendations be around the following data’s states.

  • Inattivi: sono inclusi tutti gli oggetti, i contenitori e i tipi di archiviazione di informazioni esistenti in forma statica nei supporti fisici, siano essi dischi magnetici o dischi ottici.At-rest: This includes all information storage objects, containers, and types that exist statically on physical media, be it magnetic or optical disk.

  • In transito: quando i dati vengono trasferiti dati tra componenti, posizioni o programmi, ad esempio sulla rete, attraverso un bus di servizio (da locale a cloud e viceversa, incluse le connessioni ibride come ExpressRoute) oppure durante un processo di input/output, sono considerati in movimento.In-Transit: When data is being transferred between components, locations or programs, such as over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process, it is thought of as being in-motion.

Crittografia dei dati inattiviEncryption @ rest

Per ottenere la crittografia dei dati inattivi, sono disponibili le opzioni seguenti.To achieve Encryption at Rest each of the following:

Per crittografare i dati, supportare almeno uno dei modelli di crittografia consigliati illustrati in dettaglio nella tabella seguente.Support at least one of the recommended encryption models detailed in the following table to encrypt data.

Modelli di crittografiaEncryption Models
Crittografia serverServer Encryption Crittografia serverServer Encryption Crittografia serverServer Encryption Crittografia clientClient Encryption
Crittografia lato server con chiavi gestite dal servizioServer-Side Encryption using Service Managed Keys Crittografia lato server con chiavi gestite dal cliente in Azure Key VaultServer-side encryption using Customer-Managed Keys in Azure Key Vault Crittografia lato server con chiavi gestite dal cliente in localeServer-side encryption using on-prem customer managed keys
• I provider di risorse di Azure eseguono le operazioni di crittografia e decrittografia• Azure Resource Providers perform the encryption and decryption operations
• Microsoft gestisce le chiavi• Microsoft manages the keys
• Funzionalità cloud complete• Full cloud functionality
• I provider di risorse di Azure eseguono le operazioni di crittografia e decrittografia• Azure Resource Providers perform the encryption and decryption operations
• Il cliente controlla le chiavi tramite Azure Key Vault• Customer controls keys via Azure Key Vault
• Funzionalità cloud complete• Full cloud functionality
• I provider di risorse di Azure eseguono le operazioni di crittografia e decrittografia• Azure Resource Providers perform the encryption and decryption operations
• Il cliente controlla le chiavi in locale• Customer controls keys On-Prem
• Funzionalità cloud complete• Full cloud functionality
• I servizi di Azure non possono visualizzare i dati decrittografati• Azure services cannot see decrypted data
• I clienti mantengono le chiavi in locale o in altri archivi sicuri.• Customers keep keys on-premises (or in other secure stores). Le chiavi non sono disponibili per i servizi di AzureKeys are not available to Azure services
• Funzionalità cloud ridotte• Reduced cloud functionality

Abilitazione della crittografia dei dati inattiviEnabling encryption at rest

Identificare tutte le posizioni in cui sono archiviati i datiIdentify All Locations Your Stores Data

L'obiettivo della crittografia dei dati inattivi è crittografare tutti i dati.The goal of Encryption at Rest is to encrypt all data. In questo modo si elimina la possibilità di non includere dati importanti o tutte le posizioni permanenti. Enumerare tutti i dati archiviati dall'applicazione.Doing so eliminates the possibility of missing important data or all persisted locations.Enumerate all data stored by your application.

Nota

Non solo i "dati applicazione" o le "informazioni personali", ma tutti i dati correlati all'applicazione, inclusi i metadati degli account (mapping delle sottoscrizioni, informazioni relative al contratto, informazioni personali).Not just "application data" or "PII' but any data relating to application including account metadata (subscription mappings, contract info, PII).

Valutare quali risorse di archiviazione vengono usate per archiviare i dati,Consider what stores you are using to store data. ad esempio:For example:

  • Risorsa di archiviazione esterna (ad esempio, SQL Azure, DocumentDB, HDInsight, Data Lake e così via)External storage (for example, SQL Azure, Document DB, HDInsights, Data Lake, etc.)

  • Risorsa di archiviazione temporanea (qualsiasi cache locale contenente i dati dei tenant)Temporary storage (any local cache that includes tenant data)

  • Cache in memoria (eventualmente inserita nel file di paging)In-memory cache (could be put into the page file.)

Sfruttare il supporto della crittografia dei dati inattivi esistente in AzureLeverage the existing encryption at rest support in Azure

Per ogni risorsa di archiviazione usata, sfruttare il supporto della crittografia dei dati inattivi esistente.For each store you use, leverage the existing Encryption at Rest support.

In caso di archiviazione in disco locale o VM usare Crittografia dischi di Azure, se supportato:For VM and Local disk storage use Azure Disk Encryption where supported:

IaaSIaaS

I servizi con VM IaaS (Windows o Linux) devono usare Crittografia dischi di Azure per crittografare i volumi contenenti i dati del cliente.Services with IaaS VMs (Windows or Linux) should use Azure Disk Encryption to encrypt volumes containing customer data.

PaaS v2PaaS v2

I servizi eseguiti in PaaS v2 usando Service Fabric possono usare Crittografia dischi di Azure per set di scalabilità di macchine virtuali per crittografare le VM PaaS v2.Services running on PaaS v2 using Service Fabric can use Azure disk encryption for Virtual Machine Scale Set [VMSS] to encrypt their PaaS v2 VMs.

PaaS v1PaaS v1

Crittografia dischi di Azure non è attualmente supportato in PaaS v1.Azure Disk Encryption currently is not supported on PaaS v1. Di conseguenza, è necessario usare la crittografia a livello di applicazione per crittografare i dati inattivi salvati in modo permanente,Therefore, you must use application level encryption to encrypt persisted data at rest. che includono, tra gli altri, dati applicazione, file temporanei, log e dump di arresto anomalo del sistema.This includes, but is not limited to, application data, temporary files, logs, and crash dumps.

La maggior parte dei servizi dovrà tentare di sfruttare la crittografia di un provider di risorse di archiviazione.Most services should attempt to leverage the encryption of a storage resource provider. Alcuni servizi devono eseguire la crittografia esplicita. Ad esempio, tutto il materiale delle chiavi salvato in modo permanente (certificati e chiavi radice/master) deve essere archiviato in Key Vault.Some services have to do explicit encryption, for example, any persisted key material (Certificates, root / master keys) must be stored in Key Vault.

Se si supporta la crittografia lato servizio con chiavi gestite dal cliente, deve essere possibile per il cliente trasmettere la chiave a Microsoft.If you support service-side encryption with customer-managed keys there needs to be a way for the customer to get the key to us. A tale scopo, è supportata e consigliata l'integrazione con Azure Key Vault (AKV).The supported and recommended way to do that by integrating with Azure Key Vault (AKV). In questo caso, i clienti possono aggiungere e gestire le proprie chiavi in Azure Key Vault.In this case customers can add and manage their keys in Azure Key Vault. Per informazioni su come usare AKV, vedere Introduzione a Key Vault.A customer can learn how to use AKV via Getting Started with Key Vault.

Per l'integrazione con Azure Key Vault, si aggiunge codice per richiedere una chiave da AKV quando è necessaria per la decrittografia.To integrate with Azure Key Vault, you'd add code to request a key from AKV when needed for decryption.

Se si supportano chiave gestite dal cliente, è necessario fornire un'esperienza utente che consenta al cliente di specificare l'istanza o l'URI di Key Vault da usare.If you support customer managed keys, you need to provide a UX for the customer to specify which Key Vault (or Key Vault URI) to use.

Dato che la crittografia dei dati inattivi prevede la crittografia dei dati dell'host, dell'infrastruttura e dei tenant, la perdita delle chiavi a causa di un errore di sistema o di attività dannose potrebbe determinare la perdita di tutti i dati crittografati.As Encryption at Rest involves the encryption of host, infrastructure and tenant data, the loss of the keys due to system failure or malicious activity could mean all the encrypted data is lost. È quindi essenziale che la soluzione di crittografia dei dati inattivi includa una strategia di ripristino di emergenza completa resiliente agli errori di sistema e alle attività dannose.It is therefore critical that your Encryption at Rest solution has a comprehensive disaster recovery story resilient to system failures and malicious activity.

I servizi che implementano la crittografia dei dati inattivi, in genere, sono comunque vulnerabili se le chiavi di crittografia o i dati vengono mantenuti non crittografati nell'unità host, ad esempio nel file di paging del sistema operativo host. Di conseguenza, è necessario garantire la crittografia del volume host dei servizi.Services that implement Encryption at Rest are usually still susceptible to the encryption keys or data being left unencrypted on the host drive (for example, in the page file of the host OS.) Therefore, services must ensure the host volume for their services is encrypted. Per facilitare il compito, il team di calcolo ha abilitato la distribuzione della crittografia host, che usa la protezione di rete con chiave Bitlocker ed estensioni dell'agente e del servizio DCM per crittografare il volume host.To facilitate this Compute team has enabled the deployment of Host Encryption, which uses Bitlocker NKP and extensions to the DCM service and agent to encrypt the host volume.

La maggior parte dei servizi viene implementata in VM di Azure standard.Most services are implemented on standard Azure VMs. Tali servizi dovrebbero ottenere automaticamente la crittografia host quando viene abilitata dal team di calcolo.Such services should get Host Encryption automatically when Compute enables it. Per i servizi eseguiti in cluster gestiti dal team di calcolo, la crittografia host viene abilitata automaticamente con l'implementazione di Windows Server 2016.For services running in Compute managed clusters host encryption is enabled automatically as Windows Server 2016 is rolled out.

Crittografia dei dati in transitoEncryption in-transit

La protezione dei dati in transito deve essere una parte essenziale della strategia di protezione dati.Protecting data in transit should be essential part of your data protection strategy. Poiché i dati transitano in modo bidirezionale tra molte posizioni, in generale è consigliabile usare sempre i protocolli SSL/TLS per lo scambio di dati tra posizioni diverse.Since data is moving back and forth from many locations, the general recommendation is that you always use SSL/TLS protocols to exchange data across different locations. In alcuni casi è consigliabile isolare l'intero canale di comunicazione tra l'infrastruttura locale e cloud con una rete privata virtuale (VPN).In some circumstances, you may want to isolate the entire communication channel between your on-premises and cloud infrastructure by using a virtual private network (VPN).

Per lo spostamento dei dati tra l'infrastruttura locale e Azure, è opportuno considerare le misure di protezione appropriate, ad esempio HTTPS o VPN.For data moving between your on-premises infrastructure and Azure, you should consider appropriate safeguards such as HTTPS or VPN.

Per le organizzazioni che devono proteggere l'accesso ad Azure da più workstation locali, usare una VPN da sito a sito di Azure.For organizations that need to secure access from multiple workstations located on-premises to Azure, use Azure site-to-site VPN.

Per le organizzazioni che hanno bisogno di proteggere l'accesso ad Azure da una workstation locale, usare una VPN da punto a sito.For organizations that need to secure access from one workstation located on-premises to Azure, use Point-to-Site VPN.

Set di dati più grandi possono essere spostati su un collegamento WAN ad alta velocità dedicato, ad esempio ExpressRoute.Larger data sets can be moved over a dedicated high-speed WAN link such as ExpressRoute. Se si decide di usare ExpressRoute, è possibile anche crittografare i dati a livello di applicazione usando SSL/TLS o altri protocolli per una maggiore protezione.If you choose to use ExpressRoute, you can also encrypt the data at the application-level using SSL/TLS or other protocols for added protection.

Se si interagisce con Archiviazione di Azure tramite il portale di Azure, tutte le transazioni hanno luogo tramite HTTPS.If you are interacting with Azure Storage through the Azure Portal, all transactions occur via HTTPS. È possibile usare anche l'API REST di archiviazione su HTTPS per interagire con Archiviazione di Azure e il database SQL di Azure.Storage REST API over HTTPS can also be used to interact with Azure Storage and Azure SQL Database.

Le organizzazioni che non riescono a proteggere i dati in transito sono più vulnerabili ad attacchi man-in-the-middle, eavesdropping e hijack della sessione.Organizations that fail to protect data in transit are more susceptible for man-in-the-middle attacks, eavesdropping, and session hijacking. Questi attacchi possono essere il primo passo per ottenere l'accesso ai dati riservati.These attacks can be the first step in gaining access to confidential data.

Per altre informazioni sull'opzione VPN di Azure, vedere l'articolo Pianificazione e progettazione per il gateway VPN.You can learn more about Azure VPN option by reading the article Planning and design for VPN Gateway.

Applicare la crittografia dei dati a livello di fileEnforce file level data encryption

Azure RMS usa criteri di crittografia, identità e autorizzazione per proteggere i file e la posta elettronica.Azure RMS uses encryption, identity, and authorization policies to help secure your files and email. Azure RMS opera su più dispositivi, tra cui telefoni, tablet e PC, applicando una protezione all'interno e all'esterno dell'organizzazione.Azure RMS works across multiple devices — phones, tablets, and PCs by protecting both within your organization and outside your organization. Questa funzionalità è resa possibile dal fatto che Azure RMS aggiunge un livello di protezione che rimane insieme ai dati, anche quando fuoriescono dai confini dell'organizzazione.This capability is possible because Azure RMS adds a level of protection that remains with the data, even when it leaves your organization’s boundaries.

Quando si usa Azure RMS per proteggere i file, viene sfruttata una crittografia standard di settore con pieno supporto di FIPS 140-2.When you use Azure RMS to protect your files, you are using industry-standard cryptography with full support of FIPS 140-2. Quando si usa Azure RMS per proteggere i dati, la protezione rimane associata al file anche se questo viene copiato in una risorsa di archiviazione che non è sotto il controllo dell'IT, ad esempio un servizio di archiviazione cloud.When you leverage Azure RMS for data protection, you have the assurance that the protection stays with the file, even if it is copied to storage that is not under the control of IT, such as a cloud storage service. Lo stesso accade per i file condivisi tramite posta elettronica: il file viene protetto come allegato di un messaggio di posta elettronica, con istruzioni su come aprire l'allegato protetto.The same occurs for files shared via e-mail, the file is protected as an attachment to an email message, with instructions how to open the protected attachment. Quando si pianifica l'adozione di Azure RMS, si consiglia quanto segue:When planning for Azure RMS adoption we recommend the following:

  • Installare l'app RMS sharing.Install the RMS sharing app. Questa app si integra con le applicazioni Office installando un componente aggiuntivo di Office che offre agli utenti un modo semplice per proteggere direttamente i file.This app integrates with Office applications by installing an Office add-in so that users can easily protect files directly.

  • Configurare le applicazioni e i servizi per supportare Azure RMSConfigure applications and services to support Azure RMS

  • Creare modelli personalizzati che rispecchiano i requisiti aziendali,Create custom templates that reflect your business requirements. ad esempio un modello per i dati riservati da applicare in tutti i messaggi di posta elettronica correlati a informazioni riservate.For example: a template for top secret data that should be applied in all top secret related emails.

Le organizzazioni che sono carenti a livello di classificazione dei dati e protezione dei file potrebbero essere più soggette alla perdita di dati.Organizations that are weak on data classification and file protection may be more susceptible to data leakage. In assenza di un'adeguata protezione per i file, le organizzazioni non riusciranno a ottenere informazioni di business dettagliate, monitorare i possibili abusi e impedire l'accesso non autorizzato ai file.Without proper file protection, organizations won’t be able to obtain business insights, monitor for abuse and prevent malicious access to files.

Nota

Per altre informazioni su Azure RMS, leggere l'articolo Introduzione a Azure Rights Management.You can learn more about Azure RMS by reading the article Getting Started with Azure Rights Management.

Proteggere l'applicazione (protezione)Secure your application (protect)

Mentre Azure è responsabile della sicurezza dell'infrastruttura e della piattaforma su cui l'applicazione viene eseguita, è responsabilità dell'utente proteggere l'applicazione stessa.While Azure is responsible for securing the infrastructure and platform that your application runs on, it is your responsibility to secure your application itself. In altre parole, è necessario sviluppare, distribuire e gestire il codice e i contenuti dell'applicazione in modo sicuro.In other words, you need to develop, deploy, and manage your application code and content in a secure way. In caso contrario, il codice o il contenuto dell'applicazione può essere vulnerabile alle minacce.Without this, your application code or content can still be vulnerable to threats.

Web application firewall (WAF)Web application firewall (WAF)

Web application firewall (WAF) è una funzionalità del gateway applicazione che offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni.Web application firewall (WAF) is a feature of Application Gateway that provides centralized protection of your web applications from common exploits and vulnerabilities.

Il Web application firewall si basa sulle regole di OWASP Core Rule Set 3.0 o 2.2.9.Web application firewall is based on rules from the OWASP core rule sets 3.0 or 2.2.9. Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni vulnerabilità note.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Per citarne alcuni, tra i più comuni troviamo gli attacchi SQL injection e gli attacchi di scripting intersito.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Impedire questo tipo di attacchi nel codice dell'applicazione può risultare un'operazione complessa e potrebbe richiedere una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at multiple layers of the application topology. Un Web application firewall centralizzato semplifica notevolmente la gestione della sicurezza e offre agli amministratori delle applicazioni migliori garanzie contro le minacce o le intrusioni.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Una soluzione WAF è anche in grado di reagire più velocemente a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. È possibile convertire facilmente i gateway applicazione esistenti in un gateway applicazione con Web application firewall.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

Le vulnerabilità Web per le quali Web application firewall offre protezione includono:Some of the common web vulnerabilities which web application firewall protects against includes:

  • Protezione dagli attacchi SQL injectionSQL injection protection

  • Protezione dagli attacchi di scripting intersitoCross site scripting protection

  • Protezione dai comuni attacchi Web, ad esempio attacchi di iniezione di comandi, richieste HTTP non valide, attacchi HTTP Response Splitting e Remote File InclusionCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Protezione dalle violazioni del protocollo HTTPProtection against HTTP protocol violations

  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept headerProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevenzione contro robot, crawler e scannerPrevention against bots, crawlers, and scanners

  • Rilevamento di errori di configurazione dell'applicazione comuni (ad esempio, Apache, IIS e così via)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

Nota

Per un elenco dettagliato delle regole e delle relative funzionalità di protezione, vedere i set di regole principali seguenti.For a more detailed list of rules and their protections see the following Core rule sets:

Azure offre anche diverse funzionalità facili da usare che consentono di proteggere il traffico in ingresso e in uscita per l'app.Azure also provides several easy-to-use features to help secure both inbound and outbound traffic for your app. Consente inoltre ai clienti di proteggere il codice delle proprie applicazioni grazie alla disponibilità di funzionalità esterne per eseguire l'analisi dell'applicazione Web e individuare eventuali vulnerabilità.Azure also helps customers secure their application code by providing externally provided functionality to scan your web application for vulnerabilities.

Il servizio app di Azure offre la stessa soluzione Antimalware usata da Servizi cloud e Macchine virtuali di Azure.Azure App Service uses the same Antimalware solution used by Azure Cloud Services and Virtual Machines. Per altre informazioni, vedere la documentazione di Antimalware.To learn more about this refer to our Antimalware documentation.

Proteggere la rete (protezione)Secure your network (protect)

Microsoft Azure include una solida infrastruttura di rete per supportare i requisiti di connettività di applicazioni e servizi.Microsoft Azure includes a robust networking infrastructure to support your application and service connectivity requirements. La connettività di rete è possibile tra le risorse disponibili in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the Internet and Azure.

L'infrastruttura di rete di Azure consente di connettere tra loro le risorse di Azure in modo sicuro con reti virtuali.The Azure network infrastructure enables you to securely connect Azure resources to each other with virtual networks (VNets). Una rete virtuale è una rappresentazione della propria rete nel cloud.A VNet is a representation of your own network in the cloud. È un isolamento logico della rete nel cloud di Azure dedicato alla sottoscrizione.A VNet is a logical isolation of the Azure cloud network dedicated to your subscription. È possibile connettere le reti virtuali alle reti locali.You can connect VNets to your on-premises networks.

Proteggere la rete (protezione)

Se è necessario un controllo di accesso di base a livello di rete, basato sull'indirizzo IP e sul protocollo TCP o UDP, è possibile usare gruppi di sicurezza di rete.If you need basic network level access control (based on IP address and the TCP or UDP protocols), then you can use Network Security Groups. Un gruppo di sicurezza di rete (NSG) è un firewall di filtro dei pacchetti con stato di base e consente di gestire l'accesso sulla base di una 5-tupla.A Network Security Group (NSG) is a basic stateful packet filtering firewall and it enables you to control access based on a 5-tuple.

La rete di Azure supporta la personalizzazione del comportamento di routing per il traffico di rete nelle reti virtuali di Azure.Azure networking supports the ability to customize the routing behavior for network traffic on your Azure Virtual Networks. A tale scopo è possibile configurare route definite dall'utente in Azure.You can do this by configuring User-Defined Routes in Azure.

tunneling forzato è un meccanismo che può essere usato per assicurarsi che ai servizi sia impedito di stabilire una connessione a dispositivi in Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the Internet.

Azure supporta la connettività con collegamento WAN dedicato alla rete locale e una rete virtuale di Azure con ExpressRoute.Azure supports dedicated WAN link connectivity to your on-premises network and an Azure Virtual Network with ExpressRoute. Il collegamento tra Azure e il sito dell'utente si avvale di una connessione dedicata che non usa la rete Internet pubblica.The link between Azure and your site uses a dedicated connection that does not go over the public Internet. Se l'applicazione Azure è in esecuzione in più data center, è possibile usare Gestione traffico di Azure per indirizzare le richieste degli utenti in modo intelligente tra le istanze dell'applicazione.If your Azure application is running in multiple datacenters, you can use Azure Traffic Manager to route requests from users intelligently across instances of the application. È anche possibile instradare il traffico ai servizi non in esecuzione in Azure, se sono accessibili da Internet.You can also route traffic to services not running in Azure if they are accessible from the Internet.

Sicurezza delle macchine virtuali (protezione)Virtual machine security (protect)

Macchine virtuali di Azure consente di distribuire in modo flessibile un'ampia gamma di soluzioni di calcolo.Azure Virtual Machines lets you deploy a wide range of computing solutions in an agile way. Grazie al supporto per Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Servizi BizTalk di Azure, è possibile distribuire qualsiasi carico di lavoro, in qualunque linguaggio, praticamente su tutti i sistemi operativi.With support for Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP, and Azure BizTalk Services, you can deploy any workload and any language on nearly any operating system.

Con Azure è possibile usare software antimalware di fornitori di soluzioni di sicurezza come Microsoft, Symantec, Trend Micro e Kaspersky per proteggere le macchine virtuali da file dannosi, adware e altre minacce.With Azure, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, and Kaspersky to protect your virtual machines from malicious files, adware, and other threats.

Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione in tempo reale che aiuta a identificare e rimuovere virus, spyware e altro software dannoso.Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a real-time protection capability that helps identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware offre avvisi configurabili quando software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.Microsoft Antimalware provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems.

Backup di Azure è una soluzione scalabile che protegge i dati delle applicazioni senza investimenti di capitale e con costi operativi minimi.Azure Backup is a scalable solution that protects your application data with zero capital investment and minimal operating costs. Gli errori delle applicazioni possono danneggiare i dati e gli errori umani possono comportare l'introduzione di bug nelle applicazioni.Application errors can corrupt your data, and human errors can introduce bugs into your applications. Con Backup di Azure, le macchine virtuali che eseguono Windows e Linux sono protette.With Azure Backup, your virtual machines running Windows and Linux are protected.

Azure Site Recovery consente di orchestrare la replica, il failover e il ripristino di carichi di lavoro e app in modo che siano disponibili da una località secondaria in caso di inattività di quella primaria.Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they are available from a secondary location if your primary location goes down.

Garantire la conformità: elenco di controllo della due diligence per i servizi cloud (protezione)Ensure compliance: Cloud services due diligence checklist (protect)

Microsoft ha sviluppato l'elenco di controllo della due diligence per i servizi cloud per consentire alle organizzazioni di applicare la due diligence nel valutare la possibilità di passare al cloud.Microsoft developed the Cloud Services Due Diligence Checklist to help organizations exercise due diligence as they consider a move to the cloud. L'elenco di controllo offre alle organizzazioni di qualsiasi tipo e dimensione (sia aziende private che organizzazioni del settore pubblico, inclusi enti pubblici di tutti i livelli e organizzazioni no profit) una struttura per identificare i propri obiettivi e requisiti di prestazioni, servizio, gestione dati e governance.It provides a structure for an organization of any size and type—private businesses and public-sector organizations, including government at all levels and nonprofits—to identify their own performance, service, data management, and governance objectives and requirements. Ciò consente di confrontare le offerte di diversi provider di servizi cloud, ottenendo così una base per un contratto per servizi cloud.This allows them to compare the offerings of different cloud service providers, ultimately forming the basis for a cloud service agreement.

L'elenco di controllo offre una struttura allineata, clausola per clausola, al nuovo standard internazionale per i contratti per servizi cloud, ISO/IEC 19086.The checklist provides a framework that aligns clause-by-clause with a new international standard for cloud service agreements, ISO/IEC 19086. Questo standard offre alle organizzazioni un set unificato di considerazioni per facilitare le decisioni in merito all'adozione del cloud e creare un terreno comune per confrontare le offerte di servizi cloud.This standard offers a unified set of considerations for organizations to help them make decisions about cloud adoption, and create a common ground for comparing cloud service offerings.

L'elenco di controllo promuove un passaggio al cloud accuratamente ponderato, offrendo indicazioni strutturate e un approccio ripetibile e coerente per la scelta di un provider di servizi cloud.The checklist promotes a thoroughly vetted move to the cloud, providing structured guidance and a consistent, repeatable approach for choosing a cloud service provider.

L'adozione del cloud non è più semplicemente una decisione relativa alla tecnologia.Cloud adoption is no longer simply a technology decision. Riguardando ogni aspetto di un'organizzazione, i requisiti dell'elenco di controllo coinvolgono tutti i principali decision maker interni: CIO, CISO e i professionisti responsabili degli affari legali, della gestione dei rischi, dell'approvvigionamento e della conformità.Because checklist requirements touch on every aspect of an organization, they serve to convene all key internal decision-makers—the CIO and CISO as well as legal, risk management, procurement, and compliance professionals. In questo modo, aumenta l'efficienza del processo decisionale e le decisioni risultano fondate su valide argomentazioni, con conseguente riduzione delle probabilità di ostacoli imprevisti all'adozione.This increases the efficiency of the decision-making process and ground decisions in sound reasoning, thereby reducing the likelihood of unforeseen roadblocks to adoption.

Inoltre, l'elenco di controllo:In addition, the checklist:

  • Espone i principali argomenti di discussione per i decision maker all'inizio del processo di adozione del cloud.Exposes key discussion topics for decision-makers at the beginning of the cloud adoption process.

  • Supporta discussioni aziendali esaustive sulle normative e sugli obiettivi specifici dell'organizzazione in materia di riservatezza, informazioni personali e sicurezza dei dati.Supports thorough business discussions about regulations and the organization’s own objectives for privacy, personally identifiable information (PII), and data security.

  • Consente di identificare i potenziali problemi che potrebbero influire su un progetto cloud.Helps organizations identify any potential issues that could affect a cloud project.

  • Offre un set coerente di domande, con termini, definizioni, metriche e risultati finali identici per ogni provider, per semplificare il processo di confronto delle offerte di diversi provider di servizi cloud.Provides a consistent set of questions, with the same terms, definitions, metrics, and deliverables for each provider, to simplify the process of comparing offerings from different cloud service providers.

Convalida della sicurezza delle applicazioni e dell'infrastruttura di Azure (rilevamento)Azure infrastructure and application security validation (detect)

La sicurezza operativa di Azure include i servizi, i controlli e le funzionalità offerti agli utenti per proteggere i dati, le applicazioni e gli altri asset di Microsoft Azure.Azure Operational Security refers to the services, controls, and features available to users for protecting their data, applications, and other assets in Microsoft Azure.

Convalida della sicurezza (rilevamento)

La sicurezza operativa di Azure è basata su un framework che incorpora le conoscenze acquisite tramite varie funzionalità esclusive di Microsoft, tra cui Microsoft Security Development Lifecycle (SDL), il programma Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la sicurezza informatica.Azure Operational Security is built on a framework that incorporates the knowledge gained through a various capabilities that are unique to Microsoft, including the Microsoft Security Development Lifecycle (SDL), the Microsoft Security Response Centre program, and deep awareness of the cybersecurity threat landscape.

Microsoft Operations Management Suite (OMS)Microsoft operations management suite(OMS)

Microsoft Operations Management Suite (OMS) è la soluzione di gestione IT per il cloud ibrido.Microsoft Operations Management Suite (OMS) is the IT management solution for the hybrid cloud. Usato autonomamente o come estensione per la distribuzione esistente di System Center, OMS offre la massima flessibilità e il massimo controllo per la gestione basata su cloud dell'infrastruttura.Used alone or to extend your existing System Center deployment, OMS gives you the maximum flexibility and control for cloud-based management of your infrastructure.

Microsoft Operations Management Suite (OMS)

Con OMS, è possibile gestire qualsiasi istanza di qualsiasi cloud, inclusi i cloud locali, Azure, AWS, Windows Server, Linux, VMware e OpenStack, a un costo inferiore rispetto alle soluzioni della concorrenza.With OMS, you can manage any instance in any cloud, including on-premises, Azure, AWS, Windows Server, Linux, VMware, and OpenStack, at a lower cost than competitive solutions. OMS, realizzato per le realtà orientate principalmente al cloud, offre un nuovo approccio alla gestione dell'azienda, vale a dire il modo più veloce e più economico per affrontare nuove problematiche aziendali e gestire nuovi carichi di lavoro, applicazioni e ambienti cloud.Built for the cloud-first world, OMS offers a new approach to managing your enterprise that is the fastest, most cost-effective way to meet new business challenges and accommodate new workloads, applications and cloud environments.

Log AnalyticsLog analytics

Log Analytics fornisce servizi di monitoraggio per OMS raccogliendo i dati delle risorse gestite in un repository centrale.Log Analytics provides monitoring services for OMS by collecting data from managed resources into a central repository. Questi dati possono includere eventi, dati sulle prestazioni o dati personalizzati forniti tramite l'API.This data could include events, performance data, or custom data provided through the API. Dopo essere stati raccolti, i dati sono disponibili per generare avvisi, per l'analisi e per l'esportazione.Once collected, the data is available for alerting, analysis, and export.

Log Analytics

Questo metodo consente di consolidare i dati di diverse origini per poter combinare i dati dei servizi di Azure con l'ambiente locale esistente.This method allows you to consolidate data from a variety of sources, so you can combine data from your Azure services with your existing on-premises environment. Separa anche nettamente la raccolta dei dati dall'azione eseguita su tali dati in modo che tutte le azioni siano disponibili per tutti i tipi di dati.It also clearly separates the collection of the data from the action taken on that data so that all actions are available to all kinds of data.

Centro sicurezza di AzureAzure security center

Il Centro sicurezza di Azure consente di prevenire, rilevare e rispondere alle minacce con un livello di visibilità e controllo più elevato della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza analizza lo stato di sicurezza delle risorse di Azure per identificare le potenziali vulnerabilità di sicurezza.Security Center analyzes the security state of your Azure resources to identify potential security vulnerabilities. Un elenco di suggerimenti illustra in dettaglio il processo di configurazione dei controlli necessari.A list of recommendations guides you through the process of configuring needed controls.

Tra gli esempi sono inclusi:Examples include:

  • Provisioning di antimalware per identificare e rimuovere il software dannosoProvisioning antimalware to help identify and remove malicious software

  • Configurazione dei gruppi di sicurezza di rete e delle regole per controllare il traffico verso le VMConfiguring network security groups and rules to control traffic to VMs

  • Provisioning di un Web application firewall per la difesa da attacchi diretti alle applicazioni WebProvisioning of web application firewalls to help defend against attacks that target your web applications

  • Distribuzione degli aggiornamenti di sistema mancantiDeploying missing system updates

  • Risoluzione delle configurazioni del sistema operativo che non corrispondono alle baseline consigliateAddressing OS configurations that do not match the recommended baselines

Il Centro sicurezza raccoglie, analizza e integra automaticamente i dati di log dalle risorse di Azure, dalla rete e dalle soluzioni dei partner, ad esempio programmi antimalware e firewall.Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and partner solutions like antimalware programs and firewalls. Quando vengono rilevate minacce, viene creato un avviso di sicurezza.When threats are detected, a security alert is created. Ad esempio, è compreso il rilevamento di:Examples include detection of:

  • VM compromesse in comunicazione con indirizzi IP dannosi notiCompromised VMs communicating with known malicious IP addresses

  • Malware avanzato rilevato tramite Segnalazione errori WindowsAdvanced malware detected by using Windows error reporting

  • Attacchi di forza bruta alle VMBrute force attacks against VMs

  • Avvisi di sicurezza da programmi antimalware e firewall integratiSecurity alerts from integrated antimalware programs and firewalls

Monitoraggio di AzureAzure monitor

Monitoraggio di Azure offre collegamenti a informazioni su tipi di risorse specifici.Azure Monitor provides pointers to information on specific types of resources. Offre anche funzionalità di visualizzazione, query, routing, avviso, ridimensionamento automatico e automazione dei dati sia dall'infrastruttura di Azure (log attività) che da ogni singola risorsa di Azure (log di diagnostica).It offers visualization, query, routing, alerting, auto scale, and automation on data both from the Azure infrastructure (Activity Log) and each individual Azure resource (Diagnostic Logs).

Le applicazioni cloud sono complesse e hanno molte parti mobili.Cloud applications are complex with many moving parts. Il monitoraggio offre la possibilità di garantire il funzionamento e l'integrità dell'applicazione.Monitoring provides data to ensure that your application stays up and running in a healthy state. Consente anche di prevenire i problemi potenziali o di risolvere quelli precedenti.It also helps you to stave off potential problems or troubleshoot past ones.

Monitoraggio di Azure È anche possibile usare i dati di monitoraggio per ottenere informazioni approfondite sull'applicazione,Azure monitor In addition, you can use monitoring data to gain deep insights about your application. utili per migliorarne le prestazioni o la manutenibilità oppure per automatizzare azioni che altrimenti richiederebbero un intervento manuale.That knowledge can help you to improve application performance or maintainability, or automate actions that would otherwise require manual intervention.

Il controllo della sicurezza della rete è fondamentale per rilevare le vulnerabilità e garantire la conformità con il modello di governance normativo e della sicurezza IT.Auditing your network security is vital for detecting network vulnerabilities and ensuring compliance with your IT security and regulatory governance model. Con la visualizzazione Gruppo di sicurezza, è possibile recuperare il gruppo di sicurezza di rete e le regole di sicurezza configurati, nonché le regole di sicurezza effettive.With Security Group view, you can retrieve the configured Network Security Group and security rules, as well as the effective security rules. Con l'elenco delle regole applicate, è possibile determinare le porte aperte e valutare la vulnerabilità della rete.With the list of rules applied, you can determine the ports that are open and ss network vulnerability.

Network WatcherNetwork watcher

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di rete da, verso e in Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network level in, to, and from Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete.This service includes packet capture, next hop, IP flow verify, security group view, NSG flow logs. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.Scenario level monitoring provides an end to end view of network resources in contrast to individual network resource monitoring.

Analisi archiviazioneStorage analytics

Analisi archiviazione può archiviare metriche che includono statistiche delle transazioni aggregate e dati di capacità relativi alle richieste in un servizio di archiviazione.Storage Analytics can store metrics that include aggregated transaction statistics and capacity data about requests to a storage service. Le transazioni vengono segnalate sia a livello di operazione API, sia a livello di servizio di archiviazione, mentre la capacità viene segnalata a livello di servizio di archiviazione.Transactions are reported at both the API operation level as well as at the storage service level, and capacity is reported at the storage service level. I dati delle metriche possono essere utilizzati per analizzare l'uso del servizio di archiviazione, diagnosticare i problemi relativi alle richieste effettuate al servizio di archiviazione e per migliorare le prestazioni delle applicazioni che usano un servizio.Metrics data can be used to analyze storage service usage, diagnose issues with requests made against the storage service, and to improve the performance of applications that use a service.

Application InsightsApplication insights

Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme,Application Insights is an extensible Application Performance Management (APM) service for web developers on multiple platforms. che consente di monitorare un'applicazione Web live.Use it to monitor your live web application. Il servizio rileva automaticamente le anomalie nelle prestazioniIt will automatically detect performance anomalies. e include avanzati strumenti di analisi che consentono di diagnosticare i problemi e conoscere come viene usata l'app dagli utenti.It includes powerful analytics tools to help you diagnose issues and to understand what users do with your app. Il servizio è progettato per supportare il miglioramento continuo delle prestazioni e dell'usabilità.It's designed to help you continuously improve performance and usability. Funziona per le app su un'ampia gamma di piattaforme, tra cui .NET o J2EE, ospitate in locale o nel cloud.It works for apps on a wide variety of platforms including .NET, Node.js and J2EE, hosted on-premises or in the cloud. Si integra con il processo DevOps e offre punti di connessione per diversi strumenti di sviluppo.It integrates with your devOps process, and has connection points to a various development tools.

Esegue il monitoraggio di:It monitors:

  • Frequenza delle richieste, tempi di risposta e percentuali di errore: trovare le pagine più visitate, gli orari di visita e la posizione degli utenti. Request rates, response times, and failure rates - Find out which pages are most popular, at what times of day, and where your users are. Vedere quali pagine abbiano prestazioni migliori.See which pages perform best. Se i tempi di risposta e le percentuali di errore aumentano di pari passo con le richieste, è probabile che ci sia un problema di assegnazione delle risorse.If your response times and failure rates go high when there are more requests, then perhaps you have a resourcing problem.

  • Tassi di dipendenza, tempi di risposta e percentuali di errore: trovare quali servizi esterni causino un rallentamento.Dependency rates, response times, and failure rates - Find out whether external services are slowing you down.

  • Eccezioni: analizzare le statistiche aggregate o selezionare istanze specifiche e approfondire l'analisi dello stack e le richieste correlate.Exceptions - Analyze the aggregated statistics, or pick specific instances and drill into the stack trace and related requests. Vengono segnalate eccezioni di server e browser.Both server and browser exceptions are reported.

  • Visualizzazioni pagina e prestazioni di carico, segnalate dai browser degli utenti.Page views and load performance - reported by your users' browsers.

  • Chiamate AJAX da pagine Web: frequenza, tempi di risposta e percentuali di errore.AJAX calls from web pages - rates, response times, and failure rates.

  • Conteggi degli utenti e delle sessioni.User and session counts.

  • Contatori delle prestazioni dai computer server Windows o Linux, ad esempio l'uso di CPU, memoria e rete.Performance counters from your Windows or Linux server machines, such as CPU, memory, and network usage.

  • Diagnostica dell'host da Docker o Azure.Host diagnostics from Docker or Azure.

  • Log di traccia di diagnostica dall'app, in modo da poter correlare gli eventi di traccia con le richieste.Diagnostic trace logs from your app - so that you can correlate trace events with requests.

  • Eventi e metriche personalizzati scritti dall'utente stesso nel codice del client o del server per tenere traccia di eventi aziendali come gli articoli venduti o delle partite vinte.Custom events and metrics that you write yourself in the client or server code, to track business events such as items sold, or games won. L'infrastruttura per l'applicazione è in genere costituita da vari componenti, ad esempio una macchina virtuale, un account di archiviazione e una rete virtuale oppure un'app Web, un database, un server di database e servizi di terze parti.The infrastructure for your application is typically made up of many components – maybe a virtual machine, storage account, and virtual network, or a web app, database, database server, and 3rd party services. Questi componenti non appaiono come entità separate, ma come parti correlate e interdipendenti di una singola entitàYou do not see these components as separate entities, instead you see them as related and interdependent parts of a single entity. e devono essere distribuite, gestite e monitorate come gruppo.You want to deploy, manage, and monitor them as a group. Azure Resource Manager consente di usare le risorse incluse nella soluzione come un gruppo.Azure Resource Manager enables you to work with the resources in your solution as a group.

È possibile distribuire, aggiornare o eliminare tutte le risorse della soluzione con un'unica operazione coordinata.You can deploy, update, or delete all the resources for your solution in a single, coordinated operation. Per la distribuzione viene usato un modello; questo modello può essere usato per diversi ambienti, ad esempio di testing, staging e produzione.You use a template for deployment and that template can work for different environments such as testing, staging, and production. Gestione risorse offre funzionalità di sicurezza, controllo e categorizzazione che semplificano la gestione delle risorse dopo la distribuzione.Resource Manager provides security, auditing, and tagging features to help you manage your resources after deployment.

Vantaggi offerti dall'uso di Resource ManagerThe benefits of using Resource Manager

Gestione risorse offre numerosi vantaggi:Resource Manager provides several benefits:

  • È possibile distribuire, gestire e monitorare tutte le risorse per la soluzione come un gruppo, anziché gestire singolarmente tali risorse.You can deploy, manage, and monitor all the resources for your solution as a group, rather than handling these resources individually.

  • È possibile distribuire ripetutamente la soluzione nel corso del ciclo di vita dello sviluppo garantendo al contempo che le risorse vengano distribuite in uno stato coerente.You can repeatedly deploy your solution throughout the development lifecycle and have confidence your resources are deployed in a consistent state.

  • È possibile gestire l'infrastruttura con modelli dichiarativi, piuttosto che con script.You can manage your infrastructure through declarative templates rather than scripts.

  • È possibile definire le dipendenze tra le risorse in modo che vengano distribuite nell'ordine corretto.You can define the dependencies between resources, so they are deployed in the correct order.

  • è possibile applicare il controllo di accesso a tutti i servizi nel gruppo di risorse perché il controllo di accesso basato sui ruoli (RBAC) è integrato in modo nativo nella piattaforma di gestione.You can apply access control to all services in your resource group because Role-Based Access Control (RBAC) is natively integrated into the management platform.

  • È possibile applicare tag alle risorse per organizzare in modo logico tutte le risorse nella sottoscrizione.You can apply tags to resources to logically organize all the resources in your subscription.

  • È possibile ottenere informazioni dettagliate sulla fatturazione per l'organizzazione visualizzando i costi di un gruppo di risorse che condividono lo stesso tag.You can clarify your organization's billing by viewing costs for a group of resources sharing the same tag.

Nota

Gestione risorse offre un nuovo modo per distribuire e gestire le soluzioni.Resource Manager provides a new way to deploy and manage your solutions. Per informazioni sulle modifiche introdotte rispetto al modello di distribuzione precedente, vedere l'articolo contenente le informazioni su distribuzione classica e Resource Manager.If you used the earlier deployment model and want to learn about the changes, see Understanding Resource Manager Deployment and classic deployment.

Passaggi successiviNext steps

Per altre informazioni sulla sicurezza, vedere alcuni degli approfondimenti sull'argomento:Find out more about security by reading some of our in-depth security topics: