Procedure consigliate per la sicurezza dei carichi di lavoro IaaS in AzureSecurity best practices for IaaS workloads in Azure

Questo articolo descrive le procedure consigliate per la sicurezza delle macchine virtuali e dei sistemi operativi.This article describes security best practices for VMs and operating systems.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Poiché le opinioni e le tecnologie possono cambiare nel tempo, questo articolo verrà aggiornato regolarmente per riflettere tali variazioni.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

Nella maggior parte degli scenari Infrastructure as a Service (IaaS) le macchine virtuali (VM) di Azure rappresentano il carico di lavoro principale per le organizzazioni che usano il cloud computing.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Questo è evidente negli scenari ibridi in cui le organizzazioni vogliono eseguire lentamente la migrazione dei carichi di lavoro nel cloud.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. In questi scenari seguire la considerazioni generali sulla sicurezza per IaaS e applicare le procedure consigliate di sicurezza a tutte le VM.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Responsabilità condivisaShared responsibility

Le responsabilità di sicurezza dell'utente dipendono dal tipo di servizio cloud.Your responsibility for security is based on the type of cloud service. Il grafico seguente mostra un riepilogo delle responsabilità di Microsoft e dell'utente:The following chart summarizes the balance of responsibility for both Microsoft and you:

Aree di responsabilità

I requisiti di sicurezza variano in base a diversi fattori, tra cui tipi diversi di carichi di lavoro.Security requirements vary depending on a number of factors including different types of workloads. Nessuna di queste procedure consigliate è di per sé sufficiente a proteggere i sistemi.Not one of these best practices can by itself secure your systems. Nel campo della sicurezza, è più che mai necessario scegliere le opzioni appropriate e fare in modo che le varie soluzioni si completino a vicenda.Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

Proteggere le VM tramite l'autenticazione e il controllo di accessoProtect VMs by using authentication and access control

Il primo passo per proteggere le VM consiste nel garantire che solo gli utenti autorizzati possano configurare nuove VM e accedervi.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Nota

Per migliorare la sicurezza delle macchine virtuali Linux in Azure, è possibile integrare con l'autenticazione Azure AD.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Quando si usa l'autenticazione Azure ad per le macchine virtuali Linux, è possibile controllare e applicare i criteri in modo centralizzato che consentono o negano l'accesso alle macchine virtuali.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Procedura consigliata: controllare l'accesso alla macchina virtuale.Best practice: Control VM access.
Dettagli: usare i criteri di Azure per stabilire convenzioni per le risorse all'interno dell'organizzazione e creare criteri personalizzati.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Applicare questi criteri alle risorse, ad esempio ai gruppi di risorse.Apply these policies to resources, such as resource groups. Le VM che appartengono a un gruppo di risorse ereditano i suoi criteri.VMs that belong to a resource group inherit its policies.

Se l'organizzazione dispone di molte sottoscrizioni, potrebbe essere necessario gestire in modo efficace l'accesso, i criteri e la conformità per tali sottoscrizioni.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. I gruppi di gestione di Azure forniscono un livello di ambito al di sopra delle sottoscrizioni.Azure management groups provide a level of scope above subscriptions. Le sottoscrizioni sono organizzate in gruppi di gestione, o contenitori, a cui vengono applicate le condizioni di governance.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo.All subscriptions within a management group automatically inherit the conditions applied to the group. I gruppi di gestione offrono gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizioni che si posseggono.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Procedura consigliata: ridurre la variabilità nel programma di configurazione e distribuzione delle macchine virtuali.Best practice: Reduce variability in your setup and deployment of VMs.
Dettagli: usare i modelli di Azure Resource Manager per rafforzare le opzioni di distribuzione e facilitare l'individuazione e la creazione di un inventario delle macchine virtuali dell'ambiente.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Procedura consigliata: accesso sicuro con privilegi.Best practice: Secure privileged access.
Dettagli: per consentire agli utenti di accedere e configurare le VM, usare un approccio con privilegi minimi e i ruoli predefiniti di Azure:Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Collaboratore macchine virtuali: è in grado di gestire macchine virtuali, ma non la rete virtuale o l'account di archiviazione a cui sono connesse.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Collaboratore macchine virtuali classiche: può gestire le VM create usando il modello di distribuzione classico ma non la rete virtuale o l'account di archiviazione a cui le VM sono connesse.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Amministratore della sicurezza: Solo in Centro sicurezza: è possibile visualizzare i criteri di sicurezza e gli stati di sicurezza, modificare i criteri di sicurezza, visualizzare gli avvisi e le raccomandazioni, ignorare gli avvisi e le raccomandazioni.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Utente DevTest Labs: può visualizzare tutti gli elementi e connettere, avviare, riavviare e arrestare le VM.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Gli amministratori e i coamministratori della sottoscrizione possono modificare questa impostazione, rendendoli amministratori di tutte le VM di una sottoscrizione.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Assicurarsi che tutti gli amministratori e i coamministratori della sottoscrizione che possono accedere ai computer siano attendibili.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Nota

Si consiglia di raggruppare le VM con lo stesso ciclo di vita nel medesimo gruppo di risorse.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Usando i gruppi di risorse è possibile distribuire, monitorare ed eseguire il rollup dei costi di fatturazione per le risorse.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Le organizzazioni che controllano l'accesso alle VM e la loro configurazione migliorano la sicurezza complessiva delle VM.Organizations that control VM access and setup improve their overall VM security.

Usare più VM per una maggiore disponibilitàUse multiple VMs for better availability

Se la VM esegue applicazioni critiche che richiedono un'elevata disponibilità, è consigliabile usare più VM.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Per una migliore disponibilità, usare un set di disponibilità o le zonedi disponibilità.For better availability, use an availability set or availability zones.

Un set di disponibilità è un raggruppamento logico che è possibile usare in Azure per garantire che le risorse delle macchine virtuali inserite dall'utente siano isolate tra loro quando vengono distribuite all'interno di un data center di Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure garantisce che le macchine virtuali inserite all'interno di un set di disponibilità vengano eseguite tra più server fisici, rack di calcolo, unità di archiviazione e commutatori di rete.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. In caso di guasto hardware o errore software in Azure, viene interessato solo un subset delle macchine virtuali. L'applicazione nel suo complesso rimarrà disponibile per i clienti.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. I set di disponibilità sono una funzionalità essenziale da sfruttare quando si vogliono creare soluzioni cloud affidabili.Availability sets are an essential capability when you want to build reliable cloud solutions.

Protezione dal malwareProtect against malware

È consigliabile installare una protezione antimalware per identificare e rimuovere virus, spyware e altro software dannoso.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. È possibile installare Microsoft Antimalware o una soluzione di protezione degli endpoint di un partner Microsoft (Trend Micro, Symantec, McAfee, Windows Defender e System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Symantec, McAfee, Windows Defender, and System Center Endpoint Protection).

Microsoft Antimalware include caratteristiche come la protezione in tempo reale, l'analisi pianificata, il monitoraggio e aggiornamento malware, l'aggiornamento delle firme e del motore, il reporting di campioni e la raccolta degli eventi di esclusione.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Per gli ambienti ospitati separatamente dall'ambiente di produzione, è possibile usare un'estensione antimalware per la protezione delle VM e dei servizi cloud.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

È possibile integrare Microsoft Antimalware e soluzioni partner con Centro sicurezza di Azure per facilitare la distribuzione e i rilevamenti predefiniti (avvisi ed eventi imprevisti).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Procedura consigliata: installare una soluzione antimalware per proteggersi dai malware.Best practice: Install an antimalware solution to protect against malware.
Dettagli: installare una soluzione di un partner Microsoft o Microsoft AntimalwareDetail: Install a Microsoft partner solution or Microsoft Antimalware

Procedura consigliata: integrare la soluzione antimalware con il Centro sicurezza per monitorare lo stato della protezione.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Dettagli: gestire i problemi di protezione degli endpoint con il Centro sicurezzaDetail: Manage endpoint protection issues with Security Center

Gestire gli aggiornamenti della VMManage your VM updates

Le VM di Azure, ad esempio tutte le VM locali, sono progettate per essere gestite dagli utenti.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure non effettua il push degli aggiornamenti di Windows verso le VM.Azure doesn't push Windows updates to them. È compito dell'utente gestire gli aggiornamenti delle VM.You need to manage your VM updates.

Procedura consigliata: mantenere aggiornate le VM.Best practice: Keep your VMs current.
Dettagli: la soluzione Gestione aggiornamenti in Automazione di Azure consente di gestire gli aggiornamenti del sistema operativo per i computer Windows e Linux distribuiti in Azure, in ambienti locali o in altri provider di servizi cloud.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. È possibile valutare rapidamente lo stato degli aggiornamenti disponibili in tutti i computer agente e gestire il processo di installazione degli aggiornamenti necessari per i server.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

I computer gestiti da Gestione aggiornamenti usano le configurazioni seguenti per le valutazioni e le distribuzioni degli aggiornamenti:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) per Windows o LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell DSC (Desired State Configuration) per LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Ruolo di lavoro ibrido per runbook di AutomazioneAutomation Hybrid Runbook Worker
  • Microsoft Update o Windows Server Update Services (WSUS) per computer WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Se si usa Windows Update, lasciare abilitata l'impostazione automatica di Windows Update.If you use Windows Update, leave the automatic Windows Update setting enabled.

Procedura consigliata: in fase di distribuzione verificare che le immagini create includano gli aggiornamenti più recenti di Windows.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Dettagli: controllare e installare tutti gli aggiornamenti di Windows come primo passo di ogni distribuzione.Detail: Check for and install all Windows updates as a first step of every deployment. Questa misura è particolarmente importante da applicare quando si distribuiscono immagini proprie o provenienti dalla propria libreria.This measure is especially important to apply when you deploy images that come from either you or your own library. Anche se le immagini di Azure Marketplace vengono aggiornate automaticamente per impostazione predefinita, dopo un rilascio pubblico può esserci un tempo di ritardo (fino a qualche settimana).Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Procedura consigliata: ridistribuire periodicamente le VM per forzare una versione aggiornata del sistema operativo.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Dettagli: definire la VM con un modello di Azure Resource Manager in modo che sia possibile ridistribuirla facilmente.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. La scelta di un modello offre l'opportunità di avere una VM sicura e con patch applicate quando serve.Using a template gives you a patched and secure VM when you need it.

Procedura consigliata: Applicare rapidamente gli aggiornamenti della sicurezza alle macchine virtuali.Best practice: Rapidly apply security updates to VMs.
Dettagli: Abilitare il Centro sicurezza di Azure (livello gratuito o standard) per identificare gli aggiornamenti della sicurezza mancanti e applicarli.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Procedura consigliata: installare gli aggiornamenti della sicurezza più recenti.Best practice: Install the latest security updates.
Dettagli: I lab e i sistemi esterni sono tra i primi carichi di lavoro che i clienti spostano in Azure.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Se le VM di Azure ospitano applicazioni o servizi che devono essere accessibili da Internet, è importante fare attenzione all'applicazione di patch.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Non limitarsi all'applicazione di patch relative al sistema operativo.Patch beyond the operating system. Anche le vulnerabilità senza patch delle applicazioni di partner possono causare problemi facilmente evitabili con una buona gestione delle patch.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Procedura consigliata: distribuire e testare una soluzione di backup.Best practice: Deploy and test a backup solution.
Dettagli: il backup deve essere gestito come qualsiasi altra operazione,Detail: A backup needs to be handled the same way that you handle any other operation. anche per quanto riguarda i sistemi dell'ambiente di produzione che si estendono al cloud.This is true of systems that are part of your production environment extending to the cloud.

I sistemi di sviluppo e test devono seguire strategie di backup con funzionalità di ripristino simili a quelle che gli utenti degli ambienti locali sono ormai abituati a usare.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Se possibile, i carichi di lavoro di produzione spostati in Azure devono integrarsi con le soluzioni di backup esistenti.Production workloads moved to Azure should integrate with existing backup solutions when possible. In alternativa, per le esigenze di backup è possibile usare Backup di Azure.Or, you can use Azure Backup to help address your backup requirements.

Le organizzazioni che non applicano criteri di aggiornamento del software sono più esposte a minacce che sfruttano vulnerabilità note e corrette in precedenza.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Per conformarsi alle normative del settore, le aziende devono dimostrare di operare con diligenza e di usare controlli di sicurezza appropriati per garantire la sicurezza dei carichi di lavoro che si trovano nel cloud.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Le procedure consigliate per l'aggiornamento del software per i data center tradizionali e IaaS di Azure presentano molte analogie.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Si consiglia di valutare i criteri di aggiornamento del software correnti per includere le VM di Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Gestire le condizioni di sicurezza della VMManage your VM security posture

Le minacce informatiche sono in continua evoluzione.Cyberthreats are evolving. Per proteggere le VM è necessaria una capacità di monitoraggio che possa rilevare rapidamente le minacce, impedire l'accesso non autorizzato alle risorse, attivare gli avvisi e ridurre i falsi positivi.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Per monitorare le condizioni di sicurezza delle VM Windows e Linux, usare Centro sicurezza di Azure.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. In Centro sicurezza proteggere le VM sfruttando le seguenti capacità:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Applicare le impostazioni di sicurezza del sistema operativo con le regole di configurazione consigliate.Apply OS security settings with recommended configuration rules.
  • Identificare e scaricare gli aggiornamenti critici e di sicurezza del sistema che potrebbero mancare.Identify and download system security and critical updates that might be missing.
  • Distribuire raccomandazioni per la protezione antimalware degli endpoint.Deploy recommendations for endpoint antimalware protection.
  • Convalidare la crittografia del disco.Validate disk encryption.
  • Valutare e correggere le vulnerabilità.Assess and remediate vulnerabilities.
  • Rilevare le minacce.Detect threats.

Il Centro sicurezza può monitorare attivamente le minacce e le minacce potenziali sono esposte negli avvisi di sicurezza.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Le minacce correlate sono aggregate in un'unica visualizzazione denominata evento imprevisto per la sicurezza.Correlated threats are aggregated in a single view called a security incident.

Il Centro sicurezza archivia i dati nei log di monitoraggio di Azure.Security Center stores data in Azure Monitor logs. Log di monitoraggio di Azure fornisce un linguaggio di query e un motore di analisi che offre informazioni dettagliate sul funzionamento delle applicazioni e delle risorse.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. I dati vengono raccolti anche da Monitoraggio di Azure, dalle soluzioni di gestione e dagli agenti installati su macchine virtuali nel cloud o in locale.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Questa funzionalità condivisa permette di ottenere il quadro completo dell'ambiente.This shared functionality helps you form a complete picture of your environment.

Le organizzazioni che non applicano condizioni di sicurezza avanzate per le proprie VM rimangono all'oscuro della presenza di potenziali tentativi da parte di utenti non autorizzati di aggirare i controlli di sicurezza.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Monitorare le prestazioni della VMMonitor VM performance

L'uso improprio delle risorse può essere un problema quando i processi della VM utilizzano più risorse di quanto dovrebbero.Resource abuse can be a problem when VM processes consume more resources than they should. I problemi di prestazioni di una VM possono causare interruzioni del servizio, il che viola il principio di disponibilità della sicurezza.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Ciò è particolarmente importante per le VM che ospitano IIS o altri server Web, perché un utilizzo elevato di CPU o memoria potrebbe indicare un attacco DoS (Denial of Service).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. È fondamentale monitorare l'accesso alla VM non solo in modo reattivo (mentre un problema si sta verificando) ma anche in modo proattivo, rispetto alle prestazioni misurate durante il periodo di normale funzionamento.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Si consiglia di usare Monitoraggio di Azure per ottenere visibilità sull'integrità della risorsa.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Monitoraggio di Azure offre:Azure Monitor features:

Le organizzazioni che non monitorano le prestazioni delle VM non possono capire se determinate modifiche nei modelli di prestazioni sono normali o anomale.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Una VM che consuma più risorse del normale potrebbe indicare un attacco proveniente da una risorsa esterna o un l'esecuzione di un processo compromesso.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Crittografare i file dei dischi rigidi virtualiEncrypt your virtual hard disk files

È consigliabile crittografare i dischi rigidi virtuali per proteggere il volume di avvio e i volumi dei dati inattivi in archiviazione, oltre alle chiavi di crittografia e ai segreti.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Crittografia dischi di Azure consente di crittografare i dischi delle macchine virtuali IaaS Windows e Linux.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Crittografia dischi di Azure usa la funzionalità standard di settore BitLocker di Windows e la funzionalità DM-Crypt di Linux per fornire la crittografia del volume per i dischi dati e il sistema operativo.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. La soluzione è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi di crittografia dei dischi e i segreti nella sottoscrizione di Key Vault.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Di seguito sono illustrate le procedure consigliate per l'uso della Crittografia dischi di Azure:Following are best practices for using Azure Disk Encryption:

Procedura consigliata: abilitare la crittografia sulle macchine virtuali.Best practice: Enable encryption on VMs.
Dettagli: Crittografia dischi di Azure genera e scrive le chiavi di crittografia nell'insieme di credenziali delle chiavi.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. La gestione delle chiavi di crittografia nell'insieme di credenziali delle chiavi richiede l'autenticazione di Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Creare un'applicazione Azure AD per questo scopo.Create an Azure AD application for this purpose. Ai fini dell'autenticazione, è possibile usare l'autenticazione basata sul segreto client o l'autenticazione di Azure AD basata sul certificato client.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Procedura consigliata: usare una chiave di crittografia della chiave per aggiungere un livello di sicurezza ulteriore per le chiavi di crittografia.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Aggiungere una chiave di crittografia della chiave all'insieme di credenziali delle chiavi.Add a KEK to your key vault.
Dettagli: Usare il cmdlet Add-AzKeyVaultKey per creare una chiave di crittografia della chiave nell'insieme di credenziali delle chiavi.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Per gestire le chiavi, è anche possibile importare una chiave di crittografia della chiave dal modulo di protezione hardware.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Per altre informazioni, vedere la documentazione di Azure Key Vault.For more information, see the Key Vault documentation. Quando viene specificata una chiave di crittografia della chiave, Crittografia dischi di Azure la usa per eseguire il wrapping dei segreti di crittografia prima di scrivere nell'insieme di credenziali delle chiavi.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Mantenere una copia di deposito della chiave in un modulo di protezione hardware locale offre un ulteriore livello di protezione contro l'eliminazione accidentale delle chiavi.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Procedura consigliata: catturare uno snapshot e/o eseguire il backup prima che i dischi vengono crittografati.Best practice: Take a snapshot and/or backup before disks are encrypted. Se si verifica un errore imprevisto durante la crittografia, i backup offrono un'opzione di ripristino.Backups provide a recovery option if an unexpected failure happens during encryption.
Dettagli: Le macchine virtuali con dischi gestiti richiedono il backup prima della crittografia.Detail: VMs with managed disks require a backup before encryption occurs. Dopo aver eseguito un backup, è possibile usare il cmdlet set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup .After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Per altre informazioni su come eseguire il backup e il ripristino di macchine virtuali crittografate, vedere l'articolo Backup di Azure.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Procedura consigliata: per assicurarsi che i segreti di crittografia non superino i confini a livello di area, Crittografia dischi di Azure richiede che l'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Dettagli: Creare e usare un insieme di credenziali delle chiavi nella stessa area della macchina virtuale da crittografare.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Quando si applica Crittografia dischi di Azure, è possibile soddisfare le esigenze aziendali seguenti:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Le VM IaaS inattive sono protette con la tecnologia di crittografia standard, per soddisfare i requisiti di sicurezza e conformità dell'organizzazione.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Le VM IaaS vengono avviate con chiavi e criteri controllati dai clienti ed è possibile controllarne l'utilizzo nell'insieme di credenziali delle chiavi.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Limita connettività Internet direttaRestrict direct internet connectivity

Monitorare e limitare la connettività Internet diretta della macchina virtuale.Monitor and restrict VM direct internet connectivity. Gli utenti malintenzionati analizzano costantemente gli intervalli IP del cloud pubblico per le porte di gestione aperte e tentano gli attacchi "semplici", come le password comuni e le vulnerabilità note senza patch.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. La tabella seguente elenca le procedure consigliate per la protezione da questi attacchi:The following table lists best practices to help protect against these attacks:

Procedura consigliata: Impedisci l'esposizione accidentale al routing e alla sicurezza di rete.Best practice: Prevent inadvertent exposure to network routing and security.
Dettagli: Usare il controllo degli accessi in base al ruolo per assicurarsi che solo il gruppo di rete centrale disponga delle autorizzazioni per laDetail: Use RBAC to ensure that only the central networking group has permission to networking resources.

Procedura consigliata: Identificare e correggere le macchine virtuali esposte che consentono l'accesso da un indirizzo IP di origine "any".Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Dettagli: Usare il Centro sicurezza di Azure.Detail: Use Azure Security Center. Il Centro sicurezza consiglia di limitare l'accesso tramite endpoint con connessione Internet se uno dei gruppi di sicurezza di rete ha una o più regole in ingresso che consentono l'accesso da un indirizzo IP di origine "any".Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Il Centro sicurezza consiglierà di modificare queste regole in ingresso per limitare l'accesso agli indirizzi IP di origine che necessitano effettivamente dell'accesso.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Procedura consigliata: Limitare le porte di gestione (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Dettagli: L'accesso alla macchina virtuale JIT (just-in-Time) può essere usato per bloccare il traffico in ingresso verso le macchine virtuali di Azure, riducendo l'esposizione agli attacchi offrendo un facile accesso per connettersi alle macchine virtuali quando necessario.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Quando JIT è abilitato, il Centro sicurezza blocca il traffico in ingresso nelle macchine virtuali di Azure creando una regola del gruppo di sicurezza di rete.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Selezionare le porte nella macchina virtuale per cui proteggere il traffico in ingresso.You select the ports on the VM to which inbound traffic will be locked down. Queste porte sono controllate dalla soluzione JIT.These ports are controlled by the JIT solution.

Passaggi successiviNext steps

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati:The following resources are available to provide more general information about Azure security and related Microsoft services: