Procedure consigliate di Azure per la sicurezza di reteAzure best practices for network security

Questo articolo illustra un insieme di procedure consigliate di Azure per migliorare la sicurezza della rete,This article discusses a collection of Azure best practices to enhance your network security. derivate dalla nostra esperienza con la rete di Azure e dalle esperienze di altri clienti.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Per ogni procedura consigliata questo articolo spiega:For each best practice, this article explains:

  • Qual è la procedura consigliataWhat the best practice is
  • Il motivo per cui si vuole abilitare tale procedura consigliataWhy you want to enable that best practice
  • Quale potrebbe essere il risultato se non fosse possibile abilitare la procedura consigliataWhat might be the result if you fail to enable the best practice
  • Alternative possibili alla procedura consigliataPossible alternatives to the best practice
  • Come imparare ad abilitare la procedura consigliataHow you can learn to enable the best practice

Le procedure consigliate si basano su un parere condiviso, nonché sulle capacità e sui set di funzionalità della piattaforma di Azure esistenti al momento della presente redazione.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Le opinioni e le tecnologie cambiano nel tempo e questo articolo verrà aggiornato regolarmente per riflettere tali modifiche.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Usare controlli di rete avanzatiUse strong network controls

È possibile connettere i dispositivi e le macchine virtuali di Azure ad altri dispositivi di rete inserendoli in reti virtuali di Azure.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Vale a dire che si possono connettere le schede di interfaccia di rete virtuale a una rete virtuale per consentire le comunicazioni basate su TCP/IP tra dispositivi di rete abilitati.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Le macchine virtuali connesse a una rete virtuale di Azure possono connettersi ai dispositivi nella stessa rete virtuale, in reti virtuali diverse, su Internet o persino in reti locali.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

Quando si pianifica la rete e la sicurezza della rete, è consigliabile centralizzare gli elementi seguenti:As you plan your network and the security of your network, we recommend that you centralize:

  • Gestione delle funzioni di rete core, come ExpressRoute, provisioning di rete virtuale e subnet e indirizzi IP.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • Governance degli elementi di sicurezza di rete, ad esempio funzioni di appliance virtuali di rete come ExpressRoute, provisioning della rete virtuale e delle subnet e indirizzamento IP.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Se si usa un insieme comune di strumenti di gestione per monitorare la rete e la sicurezza della rete, si ottiene una visibilità ottimale su entrambe.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Una strategia di sicurezza semplice e unificata riduce gli errori, perché aumenta il riconoscimento umano e l'affidabilità dell'automazione.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Segmentare logicamente le subnetLogically segment subnets

Le reti virtuali di Azure sono simili a reti LAN nella rete locale.Azure virtual networks are similar to LANs on your on-premises network. Una rete virtuale di Azure prevede la creazione di una rete basata su un singolo spazio indirizzi IP privato, in cui è possibile inserire tutte le macchine virtuali di Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. Gli spazi indirizzi IP privati disponibili sono negli intervalli di Classe A (10.0.0.0/8), Classe B (172.16.0.0/12) e Classe C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Le procedure consigliate per suddividere logicamente le subnet includono:Best practices for logically segmenting subnets include:

Procedura consigliata : non assegnare regole di assenso con intervalli ampi (ad esempio, da 0.0.0.0 a 255.255.255.255).Best practice : Don't assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Dettagli : assicurarsi che le procedure di risoluzione dei problemi impediscano o vietino la configurazione di questi tipi di regole.Detail : Ensure troubleshooting procedures discourage or ban setting up these types of rules. Queste regole di assenso trasmettono un falso senso di sicurezza e vengono spesso trovate e sfruttate dai Red Team.These allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Procedura consigliata : segmentare lo spazio di indirizzi più ampio in subnet.Best practice : Segment the larger address space into subnets.
Dettagli : usare i principi di suddivisione in subnet basati su CIDR per creare le subnet.Detail : Use CIDR-based subnetting principles to create your subnets.

Procedura consigliata : creare controlli di accesso di rete tra subnet.Best practice : Create network access controls between subnets. Il routing tra le subnet viene eseguito automaticamente e non è necessario configurare manualmente le tabelle di routing.Routing between subnets happens automatically, and you don't need to manually configure routing tables. Per impostazione predefinita, non sono presenti controlli di accesso di rete tra le subnet create in una rete virtuale di Azure.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Dettagli : usare un gruppo di sicurezza di rete per proteggersi da traffico non richiesto in entrata nelle subnet di Azure.Detail : Use a network security group to protect against unsolicited traffic into Azure subnets. I gruppi di sicurezza di rete sono semplici dispositivi di ispezione dei pacchetti con stato, che usano l'approccio a 5 tuple (indirizzo IP di origine, porta di origine, IP di destinazione, porta di destinazione e protocollo di livello 4) per creare regole allow/deny per il traffico di rete.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. È possibile consentire o negare il traffico da e verso un singolo indirizzo IP, da e verso più indirizzi IP o da e verso intere subnet.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

L'uso di gruppi di sicurezza di rete per il controllo di accesso di rete tra subnet consente di inserire nelle proprie subnet risorse che appartengono alla stessa area di protezione o allo stesso ruolo.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Procedura consigliata : evitare reti virtuali e subnet di piccole dimensioni, per garantire semplicità e flessibilità.Best practice : Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Dettagli : la maggior parte delle organizzazioni aggiunge più risorse di quelle pianificate inizialmente e la riallocazione degli indirizzi richiede molto lavoro.Detail : Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. L'uso di subnet di piccole dimensioni aggiunge un valore di sicurezza limitato e il mapping di un gruppo di sicurezza di rete a ogni subnet comporta un sovraccarico di lavoro.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Definire subnet di grandi dimensioni per garantire la flessibilità necessaria per la crescita.Define subnets broadly to ensure that you have flexibility for growth.

Procedura consigliata : semplificare la gestione delle regole del gruppo di sicurezza di rete definendo gruppi di sicurezza delle applicazioni.Best practice : Simplify network security group rule management by defining Application Security Groups.
Dettagli : definire un gruppo di sicurezza delle applicazioni per elenchi di indirizzi IP che si ritiene potrebbero cambiare in futuro o essere usati in molti gruppi di sicurezza di rete.Detail : Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. Assicurarsi di assegnare nomi espliciti ai gruppi di sicurezza delle applicazioni, in modo che gli altri utenti possano comprenderne il contenuto e lo scopo.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Adottare un approccio Zero TrustAdopt a Zero Trust approach

Le reti basate sul perimetro operano in base al presupposto che tutti i sistemi all'interno di una rete possono essere considerati attendibili.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Tuttavia, nelle organizzazioni moderne i dipendenti accedono alle risorse da qualsiasi posizione su una vasta gamma di dispositivi e app, rendendo irrilevanti i controlli di sicurezza perimetrali.But today's employees access their organization's resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. I criteri di controllo di accesso che si concentrano solo su chi può accedere a una risorsa non sono sufficienti.Access control policies that focus only on who can access a resource are not enough. Per gestire in modo ottimale l'equilibrio tra sicurezza e produttività, gli amministratori della sicurezza devono anche considerare come si accede a una risorsa.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

Le reti devono aggiungere nuove soluzioni alle difese tradizionali, perché possono diventare vulnerabili alle violazioni: un utente malintenzionato può compromettere un singolo endpoint entro il perimetro attendibile e quindi espandere il controllo all'intera rete.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. Le reti Zero Trust eliminano il concetto di attendibilità basato sul percorso di rete all'interno di un perimetro.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. Le architetture Zero Trust usano invece le attestazioni di attendibilità del dispositivo e dell'utente per controllare l'accesso ai dati e alle risorse dell'organizzazione.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. Per le nuove iniziative è consigliabile adottare approcci Zero Trust che convalidano l'attendibilità al momento dell'accesso.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

Procedure consigliate:Best practices are:

Procedura consigliata : offrire l'accesso condizionale alle risorse in base a dispositivo, identità, garanzia, percorso di rete e altro ancora.Best practice : Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Dettagli : l' accesso condizionale di Azure AD consente di applicare i controlli di accesso appropriati implementando decisioni di controllo di accesso automatiche sulla base delle condizioni richieste.Detail : Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Per altre informazioni, vedere Gestire l'accesso alla gestione di Azure con accesso condizionale.For more information, see Manage access to Azure management with Conditional Access.

Procedura consigliata : abilitare l'accesso alla porta solo dopo l'approvazione del flusso di lavoro.Best practice : Enable port access only after workflow approval.
Dettagli : l' accesso JIT alle macchine virtuali nel Centro sicurezza di Azure può essere usato per bloccare il traffico in ingresso alle macchine virtuali di Azure, riducendo l'esposizione agli attacchi e offrendo al tempo stesso un accesso facile per connettersi alle macchine virtuali quando necessario.Detail : You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Procedura consigliata : concedere autorizzazioni temporanee per l'esecuzione di attività con privilegi, per impedire a utenti non autorizzati o malintenzionati di ottenere l'accesso dopo la scadenza delle autorizzazioni.Best practice : Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. L'accesso viene concesso solo quando l'utente ne ha necessità.Access is granted only when users need it.
Dettagli : usare l'accesso JIT in Azure AD Privileged Identity Management o in una soluzione di terze parti per concedere le autorizzazioni per l'esecuzione di attività con privilegi.Detail : Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

Zero Trust è la nuova fase nell'evoluzione della sicurezza di rete.Zero Trust is the next evolution in network security. Lo stato degli attacchi cibernetici spinge le organizzazioni ad adottare la mentalità "presunta violazione", ma questo approccio non dovrebbe essere limitante.The state of cyberattacks drives organizations to take the "assume breach" mindset, but this approach shouldn't be limiting. Le reti Zero Trust proteggono i dati e le risorse aziendali, garantendo nel contempo alle organizzazioni la possibilità di creare uno spazio di lavoro moderno tramite tecnologie che consentono ai dipendenti di essere produttivi in qualsiasi momento, ovunque e con qualsiasi modalità.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Controllare il comportamento di routingControl routing behavior

Quando si inserisce una macchina virtuale in una rete virtuale di Azure, la macchina virtuale può connettersi a qualsiasi altra macchina virtuale nella stessa rete virtuale e ad altre macchine virtuali in subnet diverse.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Questo è possibile perché un insieme di route di sistema, abilitate per impostazione predefinita, consente questo tipo di comunicazione.This is possible because a collection of system routes enabled by default allows this type of communication. Queste route predefinite consentono alle macchine virtuali nella stessa rete virtuale di avviare le connessioni tra loro e con Internet (per le comunicazioni in uscita solo con Internet).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Nonostante le route di sistema predefinite siano utili per molti scenari di distribuzione, in alcuni casi si vuole personalizzare la configurazione del routing per le distribuzioni.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. È consentito configurare l'indirizzo hop successivo in modo da raggiungere destinazioni specifiche.You can configure the next-hop address to reach specific destinations.

È consigliabile configurare route definite dall'utente quando si distribuisce un dispositivo di sicurezza per una rete virtuale.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Questo aspetto viene affrontato in una sezione successiva intitolata Associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Nota

Le route definite dall'utente non sono necessarie e le route di sistema predefinite generalmente funzionano.User-defined routes are not required, and the default system routes usually work.

Usare i dispositivi di rete virtualeUse virtual network appliances

I gruppi di sicurezza di rete e il routing definito dall'utente possono garantire un certo grado di sicurezza della rete nei livelli di rete e trasporto del modello OSI.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. Ma in alcune situazioni, è preferibile o necessario abilitare la sicurezza ai livelli alti dello stack.But in some situations, you want or need to enable security at high levels of the stack. In tali situazioni, è consigliabile distribuire i dispositivi di sicurezza di rete virtuale forniti dai partner di Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

I dispositivi di sicurezza di rete di Azure possono offrire livelli di sicurezza migliori rispetto a quanto offerto dai controlli a livello di rete.Azure network security appliances can deliver better security than what network-level controls provide. Le funzionalità di sicurezza di rete fornite da dispositivi di sicurezza di rete virtuale includono:Network security capabilities of virtual network security appliances include:

  • Funzionalità di firewallFirewalling
  • Rilevamento intrusioni/Prevenzione intrusioniIntrusion detection/intrusion prevention
  • Gestione vulnerabilitàVulnerability management
  • Controllo applicazioneApplication control
  • Rilevamento anomalie basato su reteNetwork-based anomaly detection
  • Filtro WebWeb filtering
  • AntivirusAntivirus
  • Protezione botnetBotnet protection

Per trovare i dispositivi di sicurezza di rete virtuale di Azure, visitare Azure Marketplace e cercare "sicurezza" e "sicurezza di rete".To find available Azure virtual network security appliances, go to the Azure Marketplace and search for "security" and "network security."

Distribuire reti perimetrali per le aree di sicurezzaDeploy perimeter networks for security zones

Una rete perimetrale è un segmento di rete fisica o logica che fornisce un ulteriore livello di sicurezza tra le risorse e Internet.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. I dispositivi specializzati per il controllo di accesso alla rete dislocati al margine di una rete perimetrale lasciano entrare nella rete virtuale solo il traffico desiderato.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

Le reti perimetrali sono utili perché permettono di concentrare le operazioni di gestione, monitoraggio, registrazione e creazione di report del controllo di accesso alla rete sui dispositivi della rete virtuale di Azure.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Una rete perimetrale è lo scenario in cui sono in genere abilitati la prevenzione DDoS (Distributed Denial of Service), i sistemi di rilevamento intrusione/prevenzione intrusioni (IDS/IPS), le regole e i criteri dei firewall, il filtro Web, il software antimalware per la rete e molto altro.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. I dispositivi di sicurezza di rete sono posizionati tra Internet e la rete virtuale di Azure e hanno un'interfaccia su entrambe le reti.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Questo è un modello di rete perimetrale base, ma esistono molti modelli diversi di rete perimetrale, ad esempio le reti back to back, tri-homed e multihomed.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

In base al concetto Zero Trust indicato in precedenza, è consigliabile usare una rete perimetrale per tutte le implementazioni con sicurezza elevata, per migliorare il livello di sicurezza di rete e il controllo di accesso per le risorse di Azure.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. È possibile usare Azure o una soluzione di terze parti per garantire un livello di sicurezza aggiuntivo tra gli asset dell'organizzazione e Internet:You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Controlli nativi di Azure.Azure native controls. Il Firewall di Azure e il web application firewall nel gateway applicazione offrono la sicurezza di base grazie a un firewall con stato come servizio, disponibilità elevata incorporata, scalabilità cloud illimitata, filtro FQDN, supporto per set di regole core OWASP e installazione e configurazione intuitive.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Offerte di terzi.Third-party offerings. Cercare in Azure Marketplace firewall di nuova generazione (NGFW) e altre offerte di terze parti che includono strumenti di sicurezza noti e livelli di sicurezza di rete notevolmente migliorati.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. La configurazione può essere più complessa, ma un'offerta di terze parti potrebbe consentire l'uso di funzionalità e set di competenze esistenti.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

Molte organizzazioni hanno scelto la strada dell'IT ibrido.Many organizations have chosen the hybrid IT route. Nell'ambiente IT ibrido, alcuni asset di informazioni dell'organizzazione si trovano in Azure e altri rimangono in locale.With hybrid IT, some of the company's information assets are in Azure, and others remain on-premises. In molti casi alcuni componenti di un servizio sono eseguiti in Azure mentre altri componenti restano in locale.In many cases, some components of a service are running in Azure while other components remain on-premises.

In uno scenario IT ibrido è in genere presente un certo grado di connettività cross-premise,In a hybrid IT scenario, there is usually some type of cross-premises connectivity. che consente alla società di connettere le proprie reti locali alle reti virtuali di Azure.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Sono disponibili due soluzioni di connettività cross-premise:Two cross-premises connectivity solutions are available:

  • VPN da sito a sito.Site-to-site VPN. È una tecnologia attendibile, affidabile e consolidata, ma la connessione avviene tramite Internet.It's a trusted, reliable, and established technology, but the connection takes place over the internet. La larghezza di banda è vincolata a un massimo di circa 1,25 Gbps.Bandwidth is constrained to a maximum of about 1.25 Gbps. La VPN da sito a sito è un'opzione ottimale in determinati scenari.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. Per la connettività cross-premise, ExpressRoute è la scelta consigliata.We recommend that you use ExpressRoute for your cross-premises connectivity. ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata fornita da un provider di connettività.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Con ExpressRoute è possibile stabilire connessioni ai servizi cloud Microsoft, ad esempio Azure, Microsoft 365 e Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Microsoft 365, and Dynamics 365. ExpressRoute è un collegamento WAN dedicato tra il percorso locale e un provider di hosting di Microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Dal momento che si tratta di una connessione di telecomunicazioni, i dati non vengono trasmessi via Internet e quindi non sono esposti a potenziali rischi legati alle comunicazioni Internet.Because this is a telco connection, your data doesn't travel over the internet, so it isn't exposed to the potential risks of internet communications.

Il percorso della connessione ExpressRoute può influire sulla capacità del firewall, la scalabilità, l'affidabilità e la visibilità del traffico di rete.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. È necessario identificare la posizione in cui terminare ExpressRoute nelle reti esistenti (locali).You'll need to identify where to terminate ExpressRoute in existing (on-premises) networks. È possibile:You can:

  • Terminare all'esterno del firewall (paradigma della rete perimetrale) se è necessaria visibilità sul traffico, se è necessario mantenere una prassi esistente di isolamento dei data center o se si stanno inserendo in Azure solo risorse extranet.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you're solely putting extranet resources on Azure.
  • Terminare all'interno del firewall (paradigma dell'estensione di rete).Terminate inside the firewall (the network extension paradigm). Questa è la raccomandazione predefinita.This is the default recommendation. In tutti gli altri casi è consigliabile considerare Azure come un ennesimo data center.In all other cases, we recommend treating Azure as an nth datacenter.

Ottimizzare il tempo di attività e le prestazioniOptimize uptime and performance

Se un servizio non è attivo, non è possibile accedere alle informazioni.If a service is down, information can't be accessed. Se le prestazioni sono talmente insufficienti da rendere i dati inutilizzabili, è possibile considerare che i dati siano inaccessibili.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Dal punto di vista della sicurezza, è necessario fare del proprio meglio per assicurarsi che i servizi offrano sempre prestazioni e tempi di attività ottimali.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

Uno dei metodi più diffusi ed efficaci per migliorare le prestazioni e la disponibilità consiste nel ricorrere al bilanciamento del carico.A popular and effective method for enhancing availability and performance is load balancing. Il bilanciamento del carico è un metodo di distribuzione del traffico di rete tra server che fanno parte di un servizio.Load balancing is a method of distributing network traffic across servers that are part of a service. Ad esempio, se dei server Web front-end fanno parte del servizio, è possibile usare il bilanciamento del carico per distribuire il traffico tra più server Web front-end.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Questa distribuzione del traffico aumenta la disponibilità perché se uno dei server Web non è più disponibile, il servizio di bilanciamento del carico interrompe l'invio di traffico a tale server, reindirizzandolo verso i server che sono ancora online.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. Il bilanciamento del carico favorisce anche le prestazioni, perché il sovraccarico di processore, rete e memoria per l'elaborazione delle richieste viene distribuito tra tutti server con carico bilanciato.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

È consigliabile impiegare il bilanciamento del carico ogni volta possibile e quando adeguato ai servizi.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Di seguito sono descritti degli scenari a livello di rete virtuale di Azure e altri a livello globale, con le opzioni di bilanciamento del carico per ognuno.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Scenario : è presente un'applicazione che:Scenario : You have an application that:

  • Necessita che le richieste provengano dalla stessa sessione utente/client per raggiungere la stessa macchina virtuale back-end.Requires requests from the same user/client session to reach the same back-end virtual machine. Esempi di queste applicazioni sono i carrelli dei siti di acquisti e i server di posta Web.Examples of this are shopping cart apps and web mail servers.
  • Accetta solo connessioni protette, pertanto le comunicazioni non crittografate verso il server non rappresentano un'opzione accettabile.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Necessita che più richieste HTTP nella stessa connessione TCP con esecuzione prolungata vengano instradate/bilanciate in server back-end diversi.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Opzione di bilanciamento del carico : usare il gateway applicazione di Azure, un servizio di bilanciamento del carico correlato al traffico Web HTTP.Load-balancing option : Use Azure Application Gateway, an HTTP web traffic load balancer. Il gateway applicazione supporta la crittografia TLS e la terminazione TLS sul gateway.Application Gateway supports end-to-end TLS encryption and TLS termination at the gateway. I server Web possono quindi essere liberati dal sovraccarico prodotto dai processi di crittografia e decrittografia e il traffico può essere trasmesso in formato non crittografato ai server back-end.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Scenario : è necessario applicare il bilanciamento del carico alle connessioni in ingresso da Internet tra i server che si trovano in una rete virtuale di Azure.Scenario : You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Scenari in cui:Scenarios are when you:

  • Sono presenti applicazioni senza stato che accettano le richieste in ingresso da Internet.Have stateless applications that accept incoming requests from the internet.
  • Non sono richieste sessioni permanenti o l'offload TLS.Don't require sticky sessions or TLS offload. La combinazione di sessioni permanenti e del bilanciamento del carico delle applicazioni è un metodo per ottenere l'affinità dei server.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Opzione di bilanciamento del carico : usare il portale di Azure per creare un servizio di bilanciamento del carico esterno che distribuisca le richieste in ingresso tra più macchine virtuali per offrire un livello superiore di disponibilità.Load-balancing option : Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenario : è necessario applicare il bilanciamento del carico alle connessioni provenienti da macchine virtuali che non si trovano su Internet.Scenario : You need to load balance connections from VMs that are not on the internet. Nella maggior parte dei casi, le connessioni che sono accettate per il bilanciamento del carico possono essere avviate da dispositivi nella rete virtuale di Azure, quali le istanze SQL Server o i server Web interni.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Opzione di bilanciamento del carico : usare il portale di Azure per creare un servizio di bilanciamento del carico interno che distribuisca le richieste in ingresso tra più macchine virtuali per offrire un livello superiore di disponibilità.Load-balancing option : Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenario : è necessario il bilanciamento del carico globale perché:Scenario : You need global load balancing because you:

  • Si dispone di una soluzione cloud ampiamente distribuita tra più aree e che richiede il livello massimo di tempo di attività (disponibilità) possibile.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Si necessita del massimo livello di tempo di attività possibile per assicurarsi che il servizio sia disponibile anche se un intero data center diventa non disponibile.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Opzione di bilanciamento del carico : usare Gestione traffico di Azure.Load-balancing option : Use Azure Traffic Manager. Gestione traffico rende possibile bilanciare il carico delle connessioni ai servizi in base alla posizione dell'utente.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Ad esempio, se l'utente effettua una richiesta al servizio dall'Unione europea, la connessione viene indirizzata ai servizi che si trovano in un data center dell'Unione europea.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Questa parte bilanciamento del carico globale di Gestione traffico consente di migliorare le prestazioni perché la connessione al data center più vicino è più veloce rispetto alla connessione ai data center più lontani.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Disabilitare l'accesso RDP/SSH alle macchine virtualiDisable RDP/SSH Access to virtual machines

È possibile raggiungere le macchine virtuali di Azure usando i protocolli Remote Desktop Protocol (RDP) e Secure Shell (SSH).It's possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Questi protocolli consentono di gestire le macchine virtuali da postazioni remote e sono standard nel computing dei data center.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

L'uso di questi protocolli in Internet può provocare tuttavia un potenziale problema di sicurezza perché gli utenti malintenzionati possono usare tecniche di attacco di forza bruta per ottenere l'accesso alle macchine virtuali di Azure.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. Una volta che gli utenti malintenzionati avranno ottenuto l'accesso, potranno usare la macchina virtuale come punto di partenza per compromettere gli altri computer nella rete virtuale o persino per attaccare i dispositivi di rete all'esterno di Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

È consigliabile disabilitare l'accesso diretto RDP e SSH alle macchine virtuali di Azure da Internet.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. Dopo aver disabilitato l'accesso diretto RDP e SSH da Internet, sono disponibili altre opzioni per accedere a queste macchine virtuali per la gestione remota.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Scenario : consentire a un singolo utente di connettersi a una rete virtuale di Azure via Internet.Scenario : Enable a single user to connect to an Azure virtual network over the internet.
Opzione : VPN da punto a sito è un altro termine per indicare una connessione client/server VPN con accesso remoto.Option : Point-to-site VPN is another term for a remote access VPN client/server connection. Dopo aver stabilito la connessione da punto a sito, l'utente può usare RDP o SSH per connettersi a qualsiasi macchina virtuale presente nella rete virtuale Azure e a cui l'utente si è connesso con VPN da punto a sito.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Ciò presuppone che l'utente sia autorizzato a raggiungere tali macchine virtuali.This assumes that the user is authorized to reach those VMs.

La VPN da punto a sito è più sicura delle connessioni dirette RDP o SSH perché l'utente deve autenticarsi due volte prima di potersi connettere a una macchina virtuale.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. In primo luogo, l'utente deve eseguire l'autenticazione, e ottenere l'autorizzazione, per stabilire la connessione VPN da punto a sito.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. In secondo luogo, l'utente deve eseguire l'autenticazione, e ottenere l'autorizzazione, per stabilire la connessione RDP o SSH.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Scenario : consentire agli utenti della rete locale di connettersi alle macchine virtuali nella rete virtuale di Azure.Scenario : Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Opzione : una VPN da sito a sito connette un'intera rete a un'altra rete via Internet.Option : A site-to-site VPN connects an entire network to another network over the internet. È possibile usare una VPN da sito a sito per connettere la rete locale a una rete virtuale di Azure.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Gli utenti della rete locale si connettono usando il protocollo RDP o SSH tramite la connessione VPN da sito a sito.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. Non è necessario consentire l'accesso diretto RDP o SSH via Internet.You don't have to allow direct RDP or SSH access over the internet.

Scenario : usare un collegamento WAN dedicato per fornire funzionalità simili alla VPN da sito a sito.Scenario : Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Opzione : usare ExpressRoute.Option : Use ExpressRoute. Offre funzionalità simili a quelle della VPN da sito a sito.It provides functionality similar to the site-to-site VPN. Le differenze principali sono le seguenti:The main differences are:

  • Il collegamento WAN dedicato non attraversa Internet.The dedicated WAN link doesn't traverse the internet.
  • I collegamenti WAN dedicati sono in genere più stabili e più efficienti.Dedicated WAN links are typically more stable and perform better.

Associare le risorse critiche dei servizi di Azure solo alle proprie reti virtualiSecure your critical Azure service resources to only your virtual networks

Usare gli endpoint servizio di rete virtuale per estendere lo spazio di indirizzi privato della rete virtuale e l'identità della rete virtuale ai servizi di Azure tramite una connessione diretta.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Gli endpoint consentono di associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Il traffico che transita dalla rete virtuale al servizio di Azure rimane sempre nella rete backbone di Microsoft Azure.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Gli endpoint di servizio offrono i vantaggi seguenti:Service endpoints provide the following benefits:

  • Maggiore sicurezza per le risorse dei servizi di Azure. Con gli endpoint di servizio è possibile associare le risorse dei servizi di Azure alla rete virtuale.Improved security for your Azure service resources : With service endpoints, Azure service resources can be secured to your virtual network. In questo modo si ottiene una maggiore sicurezza perché si rimuove completamente l'accesso Internet pubblico alle risorse, consentendo solo il traffico dalla rete virtuale.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • Routing ottimale per il traffico dei servizi di Azure dalla rete virtuale. Tutte le route nella rete virtuale che forzano il traffico Internet verso appliance locali e/o virtuali (tunneling forzato) forzano anche il traffico dei servizi di Azure affinché usi la stessa route del traffico Internet.Optimal routing for Azure service traffic from your virtual network : Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Gli endpoint di servizio forniscono il routing ottimale per il traffico di Azure.Service endpoints provide optimal routing for Azure traffic.

    Gli endpoint instradano sempre il traffico del servizio direttamente dalla rete virtuale al servizio nella rete backbone di Azure.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. Mantenendo il traffico nella rete backbone di Azure è possibile continuare a monitorare e verificare il traffico Internet in uscita dalle reti virtuali, tramite il tunneling forzato, senza conseguenze per il traffico del servizio.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Vedere altre informazioni sulle route definite dall'utente e il tunneling forzato.Learn more about user-defined routes and forced tunneling.

  • Semplicità di configurazione con sovraccarico di gestione inferiore. Non sono più necessari indirizzi IP pubblici riservati nelle reti virtuali per proteggere le risorse di Azure tramite un firewall IP.Simple to set up with less management overhead : You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. Non sono necessari dispositivi NAT o gateway per configurare gli endpoint di servizio.There are no NAT or gateway devices required to set up the service endpoints. Un endpoint di servizio può essere configurato con un semplice clic in una subnet.Service endpoints are configured through a simple click on a subnet. Non c'è alcun sovraccarico aggiuntivo per la gestione degli endpoint.There is no additional overhead to maintain the endpoints.

Per altre informazioni sugli endpoint di servizio, sui servizi di Azure e le aree per cui gli endpoint sono disponibili, vedere Endpoint servizio di rete virtuale.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Passaggi successiviNext steps

Per altre procedure di sicurezza consigliate da usare nella progettazione, distribuzione e gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.See Azure security best practices and patterns for more security best practices to use when you're designing, deploying, and managing your cloud solutions by using Azure.