Sicurezza end-to-end in Azure
Uno dei motivi migliori per usare Azure per le proprie applicazioni e i propri servizi consiste nella possibilità di sfruttare una vasta gamma di strumenti e funzionalità per la sicurezza. Questi strumenti e queste funzionalità consentono di creare soluzioni sicure sulla piattaforma Azure protetta. Microsoft Azure garantisce la riservatezza, l'integrità e la disponibilità dei dati dei clienti, assicurando anche al tempo stesso una rendicontazione trasparente.
Il diagramma e la documentazione seguenti illustrano i servizi di sicurezza in Azure. Questi servizi di sicurezza consentono di soddisfare le esigenze di sicurezza dell'azienda e proteggere gli utenti, i dispositivi, le risorse, i dati e le applicazioni nel cloud.
Mappa dei servizi di sicurezza Microsoft
La mappa dei servizi di sicurezza organizza i servizi in base alle risorse protette (colonna). Il diagramma raggruppa anche i servizi nelle categorie seguenti (riga):
- Sicurezza e protezione: servizi che consentono di implementare una strategia di difesa a più livelli tra identità, host, reti e dati. Questa raccolta di servizi e funzionalità di sicurezza consente di comprendere e migliorare il comportamento di sicurezza nell'ambiente Azure.
- Rilevare le minacce: servizi che identificano le attività sospette e facilitano la mitigazione della minaccia.
- Analizzare e rispondere: servizi che estraggono i dati di registrazione in modo da poter valutare un'attività sospetta e rispondere.
Controlli di sicurezza e baseline
Microsoft Cloud Security Benchmark include una raccolta di raccomandazioni sulla sicurezza ad alto impatto che è possibile usare per proteggere i servizi usati in Azure:
- Controlli di sicurezza: queste raccomandazioni sono in genere applicabili nei servizi di Azure e nel tenant di Azure. Ogni raccomandazione identifica un elenco di stakeholder che sono in genere coinvolti nella pianificazione, nell'approvazione o nell'implementazione del benchmark.
- Linee di base del servizio: applicano i controlli ai singoli servizi di Azure per fornire raccomandazioni sulla configurazione di sicurezza del servizio.
Garantire sicurezza e protezione
| Servizio | Descrizione |
|---|---|
| Microsoft Defender per il cloud | Un sistema di gestione della sicurezza dell'infrastruttura unificato che rafforza il comportamento di sicurezza dei data center e offre una protezione avanzata dalle minacce nei carichi di lavoro ibridi nel cloud, sia che si tratti di Azure o meno, sia in locale. |
| Gestione delle identità e degli accessi | |
| Microsoft Entra ID | Servizio Microsoft basato sul cloud per la gestione delle identità e degli accessi. |
| L'accesso condizionale è lo strumento usato da Microsoft Entra ID per riunire i segnali di identità, prendere decisioni e applicare i criteri dell'organizzazione. | |
| Domain Services è lo strumento usato da Microsoft Entra ID per fornire servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, i criteri di gruppo, il protocollo LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. | |
| Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. | |
| L'autenticazione a più fattori è lo strumento usato da Microsoft Entra ID per proteggere l'accesso ai dati e alle applicazioni richiedendo una seconda forma di autenticazione. | |
| Microsoft Entra ID Protection | Strumento che consente alle organizzazioni di automatizzare il rilevamento e la correzione dei rischi basati sull'identità, analizzare i rischi usando i dati nel portale ed esportare i dati di rilevamento dei rischi in utilità di terze parti per ulteriori analisi. |
| Infrastruttura e rete | |
| Gateway VPN | Un gateway di rete virtuale usato per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico e inviare traffico crittografato tra reti virtuali di Azure tramite la rete Microsoft. |
| Protezione di Azure dagli attacchi DDoS | Fornisce funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere specifiche risorse di Azure in una rete virtuale. |
| Frontdoor di Azure | Punto di ingresso globale e scalabile che usa la rete perimetrale globale Microsoft per creare applicazioni Web veloci, sicure e ampiamente scalabili. |
| Firewall di Azure | Un servizio di sicurezza del firewall di rete nativo del cloud e intelligente che fornisce protezione dalle minacce per i carichi di lavoro cloud in esecuzione in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti. Firewall di Azure è disponibile in tre SKU: Standard, Premium e Basic. |
| Azure Key Vault | Archivio dei segreti sicuro per token, password, certificati, chiavi API e altri segreti. Key Vault può essere usato anche per creare e controllare le chiavi di crittografia usate per crittografare i dati. |
| Modulo di protezione hardware gestito di Key Vault | Un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando moduli di protezione hardware convalidati FIPS 140-2 livello 3. |
| Collegamento privato di Azure | Consente di accedere ai servizi PaaS di Azure (ad esempio, Archiviazione di Azure e database SQL) e ai servizi di proprietà del cliente/partner ospitati in Azure tramite un endpoint privato nella rete virtuale. |
| Gateway applicazione di Azure | Un servizio di bilanciamento del carico del traffico Web avanzato che consente di gestire il traffico verso le applicazioni Web. Il gateway applicazione consente di prendere decisioni relative al routing basate su altri attributi di una richiesta HTTP, ad esempio il percorso dell'URI o le intestazioni host. |
| Bus di servizio di Azure | Gestore messaggi aziendale completamente gestito con code di messaggi e argomenti di pubblicazione-sottoscrizione. Il bus di servizio viene usato per separare applicazioni e servizi. |
| Web application firewall | Fornisce una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni. WAF può essere distribuito con gateway di app Azure lication e Frontdoor di Azure. |
| Criteri di Azure | Consente di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. Il dashboard di conformità fornisce una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down con granularità per risorsa e per criterio. Consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco per le risorse esistenti e la correzione automatica per le nuove risorse. |
| Dati e applicazione | |
| Backup di Azure | Offre soluzioni semplici, sicure e convenienti per eseguire il backup dei dati e recuperarli dal cloud di Microsoft Azure. |
| Crittografia del servizio di archiviazione di Azure | Crittografa automaticamente i dati prima che vengano archiviati e decrittografi automaticamente i dati quando vengono recuperati. |
| Azure Information Protection | Soluzione basata sul cloud che consente alle organizzazioni di individuare, classificare e proteggere documenti e messaggi di posta elettronica applicando etichette al contenuto. |
| Gestione API | Un modo per creare gateway API coerenti e moderni per i servizi back-end esistenti. |
| Azure confidential computing (Confidential computing di Azure) | Consente di isolare i dati sensibili durante l'elaborazione nel cloud. |
| Azure DevOps | I progetti di sviluppo traggono vantaggio da più livelli di tecnologie di sicurezza e governance, procedure operative e criteri di conformità archiviati in Azure DevOps. |
| Accesso ai clienti | |
| Microsoft Entra per ID esterno | Con le identità esterne in Microsoft Entra ID, è possibile consentire a persone esterne all'organizzazione di accedere ad app e risorse aziendali, permettendo loro di eseguire l'accesso con l'identità preferita. |
| È possibile condividere le app e le risorse con utenti esterni tramite Microsoft Entra B2B Collaboration. | |
| Azure AD B2C consente di supportare milioni di utenti e miliardi di autenticazioni al giorno, di monitorare e gestire automaticamente minacce come attacchi Denial of Service, password spray o forza bruta. |
Rilevare le minacce
| Servizio | Descrizione |
|---|---|
| Microsoft Defender per il cloud | Offre risorse e carichi di lavoro ibridi avanzati, intelligenti e di protezione. Il dashboard di protezione del carico di lavoro in Defender per il cloud offre visibilità e controllo delle funzionalità di protezione del carico di lavoro cloud per l'ambiente in uso. |
| Microsoft Sentinel | Soluzione SIEM (Security Information Event Management) scalabile, nativa del cloud e soAR (Security Orchestration Automated Response). Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda, offrendo una singola soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. |
| Gestione delle identità e degli accessi | |
| Microsoft Defender XDR | Un gruppo di difesa aziendale pre-violazione unificato che coordina in modo nativo il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni per fornire protezione integrata da attacchi sofisticati. |
| Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendale progettata per aiutare le reti aziendali a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. | |
| Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che sfrutta i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette all'organizzazione. | |
| Microsoft Entra ID Protection | Invia due tipi di messaggi di posta elettronica di notifica automatizzati che consentono di gestire i rischi utente e i rilevamenti dei rischi: gli utenti a rischio rilevano la posta elettronica e la posta elettronica digest settimanale. |
| Infrastruttura e rete | |
| Firewall di Azure | Firewall di Azure Premium offre il sistema di rilevamento e prevenzione delle intrusioni basato sulla firma (IDPS) per consentire il rilevamento rapido degli attacchi cercando modelli specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate dal malware. |
| Microsoft Defender per IoT | Soluzione di sicurezza unificata per identificare i dispositivi IoT/OT, le vulnerabilità e le minacce. Consente di proteggere l'intero ambiente IoT/OT, indipendentemente dal fatto che sia necessario proteggere i dispositivi IoT/OT esistenti o creare la sicurezza in nuove innovazioni IoT. |
| Azure Network Watcher | Fornisce strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse in una rete virtuale di Azure. Network Watcher è progettato per monitorare e ripristinare l'integrità di rete dei prodotti IaaS che includono macchine virtuali, reti virtuali, gateway applicazione e servizi di bilanciamento del carico. |
| Criteri di Azure | Consente di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. Criteri di Azure usa i log attività, che vengono abilitati automaticamente per includere l'origine evento, la data, l'utente, il timestamp, gli indirizzi di origine, gli indirizzi di destinazione e altri elementi utili. |
| Dati e applicazione | |
| Microsoft Defender per contenitori | Soluzione nativa del cloud usata per proteggere i contenitori in modo da poter migliorare, monitorare e gestire la sicurezza dei cluster, dei contenitori e delle relative applicazioni. |
| Microsoft Defender for Cloud Apps | Un broker di sicurezza per l'accesso cloud (CASB) che opera su più cloud. Offre un'elevata visibilità sui servizi cloud, il controllo dello spostamento dei dati e analisi sofisticate per identificare e contrastare le minacce informatiche in tutti i servizi cloud. |
Analizzare e rispondere
| Servizio | Descrizione |
|---|---|
| Microsoft Sentinel | Potenti strumenti di ricerca e query per cercare minacce alla sicurezza nelle origini dati dell'organizzazione. |
| Log e metriche di Monitoraggio di Azure | Offre una soluzione completa per la raccolta, l'analisi e l'esecuzione dei dati di telemetria dagli ambienti cloud e locali. Monitoraggio di Azure raccoglie e aggrega i dati da un'ampia gamma di origini in una piattaforma dati comune in cui può essere usata per l'analisi, la visualizzazione e gli avvisi. |
| Gestione delle identità e degli accessi | |
| Report e monitoraggio di Azure AD | I report di Microsoft Entra offrono una visualizzazione completa dell'attività nell'ambiente in uso. |
| Il monitoraggio di Microsoft Entra consente di instradare i log attività di Microsoft Entra a endpoint diversi. | |
| Cronologia di controllo di Microsoft Entra PIM | Mostra tutte le assegnazioni di ruolo e le attivazioni negli ultimi 30 giorni per tutti i ruoli con privilegi. |
| Dati e applicazione | |
| Microsoft Defender for Cloud Apps | Fornisce strumenti per acquisire una comprensione più approfondita di ciò che accade nell'ambiente cloud. |
Passaggi successivi
Comprendere la responsabilità condivisa nel cloud.
Comprendere le scelte di isolamento nel cloud di Azure per utenti dannosi e non dannosi.