Panoramica della sicurezza di rete di AzureAzure Network Security Overview

Microsoft Azure include una solida infrastruttura di rete per supportare i requisiti di connettività di applicazioni e servizi.Microsoft Azure includes a robust networking infrastructure to support your application and service connectivity requirements. La connettività di rete è possibile tra le risorse disponibili in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the Internet and Azure.

L'obiettivo di questo articolo è facilitare la comprensione di ciò che Microsoft Azure può offrire nell'area della sicurezza di rete.The goal of this article is to make it easier for you to understand what Microsoft Azure has to offer in the area of network security. Vengono fornite spiegazioni di base per i principali concetti e requisiti della sicurezza di rete,Here we provide basic explanations for core network security concepts and requirements. oltre a informazioni sulle funzionalità offerte da Azure in ognuna di queste aree. Sono disponibili numerosi collegamenti ad altro contenuto che consente di approfondire la conoscenza delle aree di interesse.We also provide you information on what Azure has to offer in each of these areas as well as links to help you gain a deeper understanding of interesting areas.

Questa panoramica della sicurezza di rete sarà incentrata sugli argomenti seguenti:This Azure Network Security Overview article focuses on the following areas:

  • Rete di AzureAzure networking
  • Controllo di accesso alla reteNetwork access control
  • Accesso remoto sicuro e connettività cross-premiseSecure remote access and cross-premises connectivity
  • DisponibilitàAvailability
  • Risoluzione dei nomiName resolution
  • Architettura della rete perimetraleDMZ architecture
  • Monitoraggio e rilevamento delle minacceMonitoring and threat detection

Rete di AzureAzure Networking

La connettività di rete è indispensabile per le macchine virtuali.Virtual machines need network connectivity. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure.To support that requirement, Azure requires virtual machines to be connected to an Azure Virtual Network. Una rete virtuale di Azure è un costrutto logico basato sull'infrastruttura di rete fisica di Azure.An Azure Virtual Network is a logical construct built on top of the physical Azure network fabric. Ogni rete virtuale di Azure logica è isolata da tutte le altre reti virtuali di Azure.Each logical Azure Virtual Network is isolated from all other Azure Virtual Networks. Ciò garantisce che il traffico di rete nelle distribuzioni di un utente non sia accessibile da altri clienti di Microsoft Azure.This helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

Altre informazioni:Learn more:

Controllo di accesso alla reteNetwork Access Control

Il controllo di accesso alla rete comporta la limitazione della connettività da e verso subnet o dispositivi specifici all'interno di una rete virtuale di Azure.Network access control is the act of limiting connectivity to and from specific devices or subnets within an Azure Virtual Network. L'obiettivo del controllo di accesso alla rete è di limitare agli utenti e ai dispositivi autorizzati l'accesso a macchine virtuali e servizi.The goal of network access control is to limit access to your virtual machines and services to approved users and devices. I controlli di accesso si basano su decisioni secondo cui le connessioni da e verso una macchina virtuale o un servizio sono consentite o negate.Access controls are based on allow or deny decisions for connections to and from your virtual machine or service.

Azure supporta numerosi tipi di controllo di accesso alla rete:Azure supports several types of network access control such as:

  • Controllo a livello reteNetwork layer control
  • Controllo di route e tunneling forzatoRoute control and forced tunneling
  • Appliance di sicurezza di rete virtualeVirtual network security appliances

Controllo a livello reteNetwork Layer Control

Qualsiasi distribuzione sicura richiede alcune misure di controllo di accesso alla rete.Any secure deployment requires some measure of network access control. L'obiettivo del controllo di accesso alla rete è di limitare la comunicazione delle macchine virtuali ai sistemi necessari e di bloccare gli altri tentativi di comunicazione.The goal of network access control is to restrict virtual machine communication to the necessary systems and that other communication attempts are blocked.

Se è necessario un controllo di accesso di base a livello di rete, basato sull'indirizzo IP e sul protocollo TCP o UDP, è possibile usare i gruppi di sicurezza di rete.If you need basic network level access control (based on IP address and the TCP or UDP protocols), then you can use Network Security Groups. Un gruppo di sicurezza di rete (NSG) è un firewall di filtro dei pacchetti con stato di base e consente di gestire l'accesso sulla base di una 5-tupla.A Network Security Group (NSG) is a basic stateful packet filtering firewall and it enables you to control access based on a 5-tuple. Gli NSG non forniscono ispezione a livello dell'applicazione o controlli di accesso autenticato.NSGs do not provide application layer inspection or authenticated access controls.

Altre informazioni:Learn more:

Controllo di route e tunneling forzatoRoute Control and Forced Tunneling

La possibilità di controllare il comportamento di routing nella rete virtuale di Azure è una funzionalità critica per il controllo di accesso e la sicurezza di rete.The ability to control routing behavior on your Azure Virtual Networks is a critical network security and access control capability. Se il routing non è configurato correttamente, è possibile che le applicazioni e i servizi ospitati nella macchina virtuale si connettano a dispositivi non autorizzati, inclusi i dispositivi di proprietà e gestiti da potenziali utenti malintenzionati.If routing is configured incorrectly, applications and services hosted on your virtual machine may connect to unauthorized devices including systems owned and operated by potential attackers.

La rete di Azure supporta la personalizzazione del comportamento di routing per il traffico di rete nelle reti virtuali di Azure.Azure networking supports the ability to customize the routing behavior for network traffic on your Azure Virtual Networks. Ciò consente di modificare le voci predefinite della tabella di routing nella rete virtuale di Azure.This enables you to alter the default routing table entries in your Azure Virtual Network. Il controllo del comportamento di routing consente di assicurarsi che tutto il traffico in ingresso o in uscita da un determinato dispositivo o gruppo di dispositivi nella rete virtuale di Azure avvenga attraverso un percorso specifico.Control of routing behavior helps you make sure that all traffic from a certain device or group of devices enters or leaves your virtual Network through a specific location.

Ad esempio, nella rete virtuale di Azure potrebbe essere presente un'appliance di sicurezza di rete virtuale.For example, you might have a virtual network security appliance on your Azure Virtual Network. Si vuole essere certi che tutto il traffico da e verso la rete virtuale di Azure passi attraverso l'appliance di sicurezza virtuale.You want to make sure that all traffic to and from your Azure Virtual Network goes through that virtual security appliance. A questo scopo è possibile configurare le route definite dall'utente in Azure.You can do this by configuring User Defined Routes in Azure.

tunneling forzato è un meccanismo che può essere usato per assicurarsi che ai servizi sia impedito di stabilire una connessione a dispositivi in Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the Internet. Questo approccio è diverso dall'accettare connessioni in ingresso e rispondere alle richieste.Note that this is different from accepting incoming connections and then responding to them. I server Web front-end devono rispondere alle richieste dagli host in Internet e di conseguenza il traffico originato da Internet è consentito in ingresso a questi server Web, che sono autorizzati a rispondere.Front-end web servers need to respond to requests from Internet hosts, and so Internet-sourced traffic is allowed inbound to these web servers and the web servers are allowed to respond.

Non si vuole invece consentire a un server Web front-end di avviare una richiesta in uscita.What you don’t want to allow is a front-end web server to initiate an outbound request. Tali richieste possono rappresentare un rischio per la sicurezza, perché queste connessioni potrebbero essere usate per il download di malware.Such requests may represent a security risk because these connections could be used to download malware. Anche se si vuole che i server front-end possano avviare richieste in uscita verso Internet, è consigliabile imporre il passaggio tramite i proxy Web locali per poter sfruttare le funzionalità di filtro e registrazione degli URL.Even if you do wish these front-end servers to initiate outbound requests to the Internet, you might want to force them to go through your on-premises web proxies so that you can take advantage of URL filtering and logging.

Per evitare tutto questo, è preferibile usare invece il tunneling forzato.Instead, you would want to use forced tunneling to prevent this. Quando si abilita il tunneling forzato, a tutte le connessioni verso Internet viene imposto il passaggio attraverso il gateway locale.When you enable forced tunneling, all connections to the Internet are forced through your on-premises gateway. È possibile configurare il tunneling forzato sfruttando le route definite dall'utente.You can configure forced tunneling by taking advantage of User Defined Routes.

Altre informazioni:Learn more:

Appliance di sicurezza di rete virtualeVirtual Network Security Appliances

Nonostante i gruppi di sicurezza di rete, le route definite dall'utente e il tunneling forzato offrano un certo grado di sicurezza ai livelli di rete e trasporto del modello OSI, a volte può essere consigliabile abilitare la sicurezza a livelli superiori rispetto alla rete.While Network Security Groups, User Defined Routes, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, there may be times when you want to enable security at levels higher than the network.

Ad esempio, i requisiti di sicurezza possono includere:For example, your security requirements might include:

  • Autenticazione e autorizzazione prima di consentire l'accesso all'applicazioneAuthentication and authorization before allowing access to your application
  • Rilevamento delle intrusioni e relativa rispostaIntrusion detection and intrusion response
  • Ispezione a livello dell'applicazione per i protocolli di alto livelloApplication layer inspection for high-level protocols
  • Filtro degli URLURL filtering
  • Antimalware e antivirus a livello di reteNetwork level antivirus and antimalware
  • Protezione anti-robotAnti-bot protection
  • Controllo di accesso all'applicazioneApplication access control
  • Protezione da attacchi DDoS aggiuntiva, oltre alla protezione DDoS fornita l'infrastruttura di AzureAdditional DDoS protection (above the DDoS protection provided the Azure fabric itself)

È possibile accedere a queste funzionalità di sicurezza di rete avanzate usando una soluzione dei partner di Azure.You can access these enhanced network security features by using an Azure partner solution. Le soluzioni di sicurezza di rete più recenti offerte dai partner di Azure sono disponibili in Azure Marketplace, cercando "sicurezza" e "sicurezza di rete".You can find the most current Azure partner network security solutions by visiting the Azure Marketplace and searching for “security” and “network security.”

Accesso remoto sicuro e connettività cross-premiseSecure Remote Access and Cross Premises Connectivity

Le operazioni di installazione, configurazione e gestione delle risorse di Azure devono essere eseguite in modalità remota.Setup, configuration, and management of your Azure resources needs to be done remotely. È anche consigliabile distribuire soluzioni di IT ibrido che includono componenti sia locali che nel cloud pubblico di Azure.In addition, you may want to deploy hybrid IT solutions that have components on-premises and in the Azure public cloud. Questi scenari richiedono l'accesso remoto sicuro.These scenarios require secure remote access.

Rete di Azure supporta gli scenari di accesso remoto sicuro seguenti:Azure networking supports the following secure remote access scenarios:

  • Connettere singole workstation a una rete virtuale di AzureConnect individual workstations to an Azure Virtual Network
  • Connettere la rete locale a una rete virtuale di Azure tramite una VPNConnect your on-premises network to an Azure Virtual Network with a VPN
  • Connettere la rete locale a una rete virtuale di Azure tramite un collegamento WAN dedicatoConnect your on-premises network to an Azure Virtual Network with a dedicated WAN link
  • Connettere tra di esse le reti virtuali di AzureConnect Azure Virtual Networks to each other

Connettere singole workstation a una rete virtuale di AzureConnect Individual Workstations to an Azure Virtual Network

A volte è opportuno consentire a singoli sviluppatori o al personale operativo di gestire le macchine virtuali e i servizi in Azure.There may be times when you want to enable individual developers or operations personnel to manage virtual machines and services in Azure. Ad esempio, è necessario accedere a una macchina virtuale in una rete virtuale di Azure e i criteri di sicurezza non consentono l'accesso remoto RDP o SSH a singole macchine virtuali.For example, you need access to a virtual machine on an Azure Virtual Network and your security policy does not allow RDP or SSH remote access to individual virtual machines. In questo caso, è possibile usare una connessione VPN da punto a sito.In this case, you can use a point-to-site VPN connection.

La connessione VPN da punto a sito usa il protocollo VPN SSTP che consente di configurare una connessione privata e sicura tra l'utente e la rete virtuale di Azure.The point-to-site VPN connection uses the SSTP VPN protocol to enable you to set up a private and secure connection between the user and the Azure Virtual Network. Una volta stabilita la connessione VPN, l'utente potrà usare RDP o SSH sul collegamento VPN a una macchina virtuale qualsiasi nella rete virtuale di Azure, presupponendo che l'utente possa autenticarsi e sia autorizzato.Once the VPN connection is established, the user will be able to RDP or SSH over the VPN link into any virtual machine on the Azure Virtual Network (assuming that the user can authenticate and is authorized).

Altre informazioni:Learn more:

Connettere la rete locale a una rete virtuale di Azure tramite una VPNConnect Your On-Premises Network to an Azure Virtual Network with a VPN

È possibile connettere l'intera rete aziendale, o parti di essa, a una rete virtuale di Azure.You may want to connect your entire corporate network, or portions of it, to an Azure Virtual Network. Questo approccio è comune negli scenari di IT ibrido in cui le aziende estendono il data center locale ad Azure.This is common in hybrid IT scenarios where companies extend their on-premises datacenter into Azure. In molti casi le aziende ospitano parti di un servizio in Azure e parti in locale, ad esempio quando una soluzione include server Web front-end in Azure e database back-end in locale.In many cases companies will host parts of a service in Azure and parts on-premises, such as when a solution includes front-end web servers in Azure and back-end databases on-premises. Questo tipo di connessioni "cross-premise" rende anche più sicura la gestione delle risorse residenti in Azure e abilita scenari come l'estensione di controller di dominio Active Directory in Azure.These types of “cross-premises” connections also make management of Azure located resources more secure and enable scenarios such as extending Active Directory domain controllers into Azure.

A questo scopo è possibile usare una VPN da sito a sito.One way to accomplish this is to use a site-to-site VPN. La differenza tra una VPN da sito a sito e una VPN da punto sito è data dal fatto che una VPN da punto a sito connette un singolo dispositivo a una rete virtuale di Azure, mentre una VPN da sito a sito connette un'intera rete, ad esempio la rete locale, a una rete virtuale di Azure.The difference between a site-to-site VPN and a point-to-site VPN is that a point-to-site VPN connects a single device to an Azure Virtual Network, while a site-to-site VPN connects an entire network (such as your on-premises network) to an Azure Virtual Network. Le VPN da sito a sito a una rete virtuale di Azure usano il protocollo VPN in modalità tunnel IPsec altamente sicuro.Site-to-site VPNs to an Azure Virtual Network use the highly secure IPsec tunnel mode VPN protocol.

Altre informazioni:Learn more:

Le connessioni VPN da punto a sito e da sito a sito consentono di abilitare la connettività cross-premise in modo efficace.Point-to-site and site-to-site VPN connections are effective for enabling cross-premises connectivity. Alcune organizzazioni ritengono tuttavia che queste connessioni presentino gli svantaggi seguenti:However, some organizations consider them to have the following drawbacks:

  • Le connessioni VPN spostano dati attraverso Internet, quindi sono esposte ai potenziali problemi di sicurezza che caratterizzano lo spostamento di dati su una rete pubblica.VPN connections move data over the Internet – this exposes these connections to potential security issues involved with moving data over a public network. Per le connessioni Internet non è inoltre possibile garantire l'affidabilità e la disponibilità.In addition, reliability and availability for Internet connections cannot be guaranteed.
  • Le connessioni VPN alle reti virtuali di Azure possono essere considerate vincolate dalla larghezza di banda per alcune applicazioni e scopi, perché raggiungono una velocità massima di circa 200 Mbps.VPN connections to Azure Virtual Networks may be considered bandwidth constrained for some applications and purposes, as they max out at around 200 Mbps.

Le organizzazioni che necessitano del massimo livello di sicurezza e disponibilità per le connessioni cross-premise usano in genere collegamenti WAN dedicati per connettersi a siti remoti.Organizations that need the highest level of security and availability for their cross-premises connections typically use dedicated WAN links to connect to remote sites. Azure consente di usare un collegamento WAN dedicato, che può essere usato per connettere la rete locale a una rete virtuale di AzureAzure provides you the ability to use a dedicated WAN link that you can use to connect your on-premises network to an Azure Virtual Network. e viene abilitato tramite Azure ExpressRoute.This is enabled through Azure ExpressRoute.

Altre informazioni:Learn more:

Connettere tra di esse le reti virtuali di AzureConnect Azure Virtual Networks to Each Other

Per le distribuzioni si possono usare molte reti virtuali di Azure.It is possible for you to use many Azure Virtual Networks for your deployments. Esistono molti motivi per cui è possibile farlo.There are many reasons why you might do this. Uno di questi può essere la semplificazione della gestione, altri possono riguardare la sicurezza.One of the reasons might be to simplify management; another might be for security reasons. Indipendentemente dalla motivazione o dalla logica secondo cui le risorse vengono inserite in reti virtuali di Azure diverse, a volte può essere opportuno stabilire una connessione tra le risorse disponibili in ognuna delle reti.Regardless of the motivation or rationale for putting resources on different Azure Virtual Networks, there may be times when you want resources on each of the networks to connect with one another.

Una soluzione può consistere nel connettere i servizi in una rete virtuale di Azure a quelli in un'altra rete virtuale di Azure con un "loopback" tramite Internet.One option would be for services on one Azure Virtual Network to connect to services on another Azure Virtual Network by “looping back” through the Internet. La connessione viene avviata in una rete virtuale di Azure, passa attraverso Internet e quindi ritorna alla rete virtuale di Azure di destinazione.The connection would start on one Azure Virtual Network, go through the Internet, and then come back to the destination Azure Virtual Network. Questa opzione espone la connessione ai problemi di sicurezza che caratterizzano tutte le comunicazioni basate su Internet.This option exposes the connection to the security issues inherent to any Internet-based communication.

Un'opzione migliore può essere la creazione di una VPN da sito a sito da rete virtuale di Azure a rete virtuale di Azure.A better option might be to create an Azure Virtual Network-to-Azure Virtual Network site-to-site VPN. Questa VPN da sito a sito da rete virtuale di Azure a rete virtuale di Azure usa lo stesso protocollo in modalità tunnel IPsec della connessione VPN da sito a sito cross-premise citata in precedenza.This Azure Virtual Network-to-Azure Virtual Network site-to-site VPN uses the same IPsec tunnel mode protocol as the cross-premises site-to-site VPN connection mentioned above.

Il vantaggio che deriva dall'uso di una VPN da sito a sito da rete virtuale di Azure a rete virtuale di Azure consiste nel fatto che la connessione VPN viene stabilita sull'infrastruttura di rete di Azure, ovvero non si connette tramite Internet.The advantage of using an Azure Virtual Network-to-Azure Virtual Network site-to-site VPN is that the VPN connection is established over the Azure network fabric instead of connecting over the Internet. Questo approccio fornisce un livello di sicurezza aggiuntivo rispetto alle VPN da sito a sito che si connettono tramite Internet.This provides you an extra layer of security compared to site-to-site VPNs that connect over the Internet.

Altre informazioni:Learn more:

DisponibilitàAvailability

La disponibilità è un componente fondamentale di qualsiasi programma di sicurezza.Availability is a key component of any security program. Se gli utenti e i sistemi non possono accedere alle risorse necessarie attraverso la rete, il servizio può essere considerato compromesso.If your users and systems can’t access what they need to access over the network, the service can be considered compromised. Azure offre tecnologie di rete che supportano i meccanismi a disponibilità elevata seguenti:Azure has networking technologies that support the following high-availability mechanisms:

  • Bilanciamento del carico basato su HTTPHTTP-based load balancing
  • Bilanciamento del carico a livello di reteNetwork level load balancing
  • Bilanciamento del carico globaleGlobal load balancing

Il meccanismo di bilanciamento del carico è progettato per distribuire equamente le connessioni tra più dispositivi.Load balancing is a mechanism designed to equally distribute connections among multiple devices. Ecco gli obiettivi del processo di bilanciamento del carico:The goals of load balancing are:

  • Aumentare la disponibilità: quando si bilancia il carico delle connessioni tra più dispositivi, uno o più dispositivi possono diventare non disponibili e i servizi in esecuzione nei dispositivi rimasti online possono continuare a gestire il contenuto dal servizio.Increase availability – when you load balance connections across multiple devices, one or more of the devices can become unavailable and the services running on the remaining online devices can continue to serve the content from the service
  • Migliorare le prestazioni: quando si bilancia il carico tra più dispositivi, un singolo dispositivo non deve assorbire l'intero carico di elaborazione.Increase performance – when you load balance connections across multiple devices, a single device doesn’t have to take the processor hit. Al contrario, le richieste di elaborazione e memoria per gestire il contenuto vengono distribuite tra più dispositivi.Instead, the processing and memory demands for serving the content is spread across multiple devices.

Bilanciamento del carico basato su HTTPHTTP-based Load Balancing

Le organizzazioni che eseguono servizi basati sul Web spesso preferiscono implementare un servizio di bilanciamento del carico basato su HTTP a monte di tali servizi Web, per garantire livelli di prestazioni e disponibilità elevata adeguati.Organizations that run web-based services often desire to have an HTTP-based load balancer in front of those web services to help insure adequate levels of performance and high availability. A differenza dei servizi di bilanciamento del carico tradizionali basati sulla rete, le decisioni relative al bilanciamento del carico prese dai servizi di bilanciamento del carico basati su HTTP fanno affidamento sulle caratteristiche del protocollo HTTP, non sui protocolli a livello trasporto e rete.In contrast to traditional network-based load balancers, the load balancing decisions made by HTTP-based load balancers are based on characteristics of the HTTP protocol, not on the network and transport layer protocols.

Per fornire il bilanciamento del carico basato su HTTP per i servizi basati sul Web, Azure fornisce il gateway applicazione di Azure.To provide you HTTP-based load balancing for your web-based services, Azure provides you the Azure Application Gateway. Il gateway applicazione di Azure supporta:The Azure Application Gateway supports:

  • Bilanciamento del carico basato su HTTP: le decisioni di bilanciamento del carico vengono prese in base a una caratteristica speciale del protocollo HTTP.HTTP-based load balancing – load balancing decisions are made based on characteristic special to the HTTP protocol
  • Affinità di sessione basata su cookie: questa funzionalità garantisce che le connessioni stabilite a uno dei server controllati dal servizio di bilanciamento del carico restino inalterate tra il client e il server.Cookie-based session affinity – this capability makes sure that connections established to one of the servers behind that load balancer stays intact between the client and server. In questo modo si assicura la stabilità delle transazioni.This insures stability of transactions.
  • Offload SSL: quando viene stabilita una connessione client con il servizio di bilanciamento del carico, la sessione tra il client e il servizio di bilanciamento del carico viene crittografata con il protocollo HTTPS (SSL/).SSL offload – when a client connection is established with the load balancer, that session between the client and the load balancer is encrypted using the HTTPS (SSL/) protocol. Per migliorare le prestazioni, è tuttavia possibile fare in modo che la connessione tra il servizio di bilanciamento del carico e il server Web controllato dal servizio di bilanciamento del carico usi il protocollo HTTP (senza crittografia).However, in order to increase performance, you have the option to have the connection between the load balancer and the web server behind the load balancer use the HTTP (unencrypted) protocol. Questa modalità è definita "offload SSL", perché i server Web controllati dal servizio di bilanciamento del carico non sono soggetti al sovraccarico del processore interessato dalla crittografia e quindi saranno in grado di soddisfare le richieste più rapidamente.This is referred to as “SSL offload” because the web servers behind the load balancer don’t experience the processor overhead involved with encryption, and therefore should be able to service requests more quickly.
  • Routing del contenuto basato su URL: questa funzionalità consente al servizio di bilanciamento del carico di scegliere dove inoltrare le connessioni in base all'URL di destinazione,URL-based content routing – this feature makes it possible for the load balancer to make decisions on where to forward connections based on the target URL. offrendo quindi maggiore flessibilità rispetto alle soluzioni che prendono decisioni sul bilanciamento del carico in base agli indirizzi IP.This provides a lot more flexibility than solutions that make load balancing decisions based on IP addresses.

Altre informazioni:Learn more:

Bilanciamento del carico a livello di reteNetwork Level Load Balancing

A differenza del bilanciamento del carico basato su HTTP, il bilanciamento del carico a livello di rete prende decisioni in base all'indirizzo IP e ai numeri di porta (TCP o UDP).In contrast to HTTP-based load balancing, network level load balancing makes load balancing decisions based on IP address and port (TCP or UDP) numbers. È possibile sfruttare i vantaggi del bilanciamento del carico a livello di rete in Azure tramite Azure Load Balancer.You can gain the benefits of network level load balancing in Azure by using the Azure Load Balancer. Alcune delle caratteristiche principali di Azure Load Balancer includono:Some key characteristics of the Azure Load Balancer include:

  • Bilanciamento del carico a livello di rete in base all'indirizzo IP e ai numeri di porta.Network level load balancing based on IP address and port numbers
  • Supporto per qualsiasi protocollo a livello dell'applicazione.Support for any application layer protocol
  • Bilanciamento del carico tra macchine virtuali di Azure e istanze del ruolo di Servizi cloud.Load balances to Azure virtual machines and cloud services role instances
  • Può essere usato per applicazioni e macchine virtuali con connessione Internet (bilanciamento del carico esterno) e senza connessione Internet (bilanciamento del carico interno).Can be used for both Internet-facing (external load balancing) and non-Internet facing (internal load balancing) applications and virtual machines
  • Monitoraggio endpoint, che viene usato per determinare se i servizi controllati dal servizio di bilanciamento del carico sono diventati non disponibili.Endpoint monitoring, which is used to determine if any of the services behind the load balancer have become unavailable

Altre informazioni:Learn more:

Bilanciamento del carico globaleGlobal Load Balancing

Alcune organizzazioni vogliono poter contare sul massimo livello di disponibilità possibile.Some organizations will want the highest level of availability possible. Un modo per raggiungere questo obiettivo consiste nell'ospitare applicazioni in data center distribuiti a livello globale.One way to reach this goal is to host applications in globally distributed datacenters. Quando un'applicazione è ospitata in data center dislocati in tutto il mondo, è possibile che un'intera area geopolitica diventi non disponibile, ma che l'applicazione continui a essere operativa.When an application is hosted in data centers located throughout the world, it’s possible for an entire geopolitical region to become unavailable and still have the application up and running.

Oltre ai vantaggi a livello di disponibilità che si ottengono ospitando le applicazioni in data center distribuiti a livello globale, è anche possibile ottenere vantaggi in termini di prestazioni.In addition to the availability advantages you get by hosting applications in globally distributed datacenters, you also can get performance benefits. Questi ultimi si possono ottenere usando un meccanismo che indirizza le richieste per il servizio al data center che si trova più vicino al dispositivo che invia la richiesta.These performance benefits can be obtained by using a mechanism that directs requests for the service to the datacenter that is nearest to the device that is making the request.

Il bilanciamento del carico a livello globale può fornire entrambi questi vantaggi.Global load balancing can provide you both of these benefits. In Azure è possibile ottenere i vantaggi del bilanciamento del carico globale tramite Gestione traffico di Azure.In Azure, you can gain the benefits of global load balancing by using Azure Traffic Manager.

Altre informazioni:Learn more:

Risoluzione dei nomiName Resolution

La risoluzione dei nomi è una funzione critica per tutti i servizi ospitati in Azure.Name resolution is a critical function for all services you host in Azure. Dal punto di vista della sicurezza la compromissione della funzione di risoluzione dei nomi può consentire a un utente malintenzionato di reindirizzare le richieste dai siti dell'utente al suo sito.From a security perspective, compromise of the name resolution function can lead to an attacker redirecting requests from your sites to an attacker’s site. La sicurezza della risoluzione dei nomi è un requisito per tutti i servizi cloud ospitati.Secure name resolution is a requirement for all your cloud hosted services.

Esistono due tipi di risoluzione dei nomi che occorre considerare:There are two types of name resolution you need to address:

  • Risoluzione dei nomi interna: viene usata dai servizi nelle reti virtuali di Azure, nelle reti locali o in entrambe.Internal name resolution – internal name resolution is used by services on your Azure Virtual Networks, your on-premises networks, or both. I nomi usati per la risoluzione dei nomi interna non sono accessibili tramite Internet.Names used for internal name resolution are not accessible over the Internet. Per una sicurezza ottimale, è importante che lo schema di risoluzione dei nomi interna non sia accessibile a utenti esterni.For optimal security, it’s important that your internal name resolution scheme is not accessible to external users.
  • Risoluzione dei nomi esterna: viene usata da utenti e dispositivi esterni alla rete locale e alle reti virtuali di Azure.External name resolution – external name resolution is used by people and devices outside of your on-premises and Azure Virtual Networks. Questi sono i nomi visibili su Internet e vengono usati per connettersi direttamente ai servizi basati sul cloud.These are the names that are visible to the Internet and are used to direct connection to your cloud-based services.

Per la risoluzione dei nomi interna sono disponibili due opzioni:For internal name resolution, you have two options:

  • Server DNS della rete virtuale di Azure: quando si crea una nuova rete virtuale di Azure, viene creato automaticamente un server DNS.An Azure Virtual Network DNS server – when you create a new Azure Virtual Network, a DNS server is created for you. Questo server DNS può risolvere i nomi dei computer che si trovano in tale rete virtuale di Azure.This DNS server can resolve the names of the machines located on that Azure Virtual Network. Il server DNS non è configurabile e viene gestito dal servizio di gestione dell'infrastruttura di Azure, rendendo così sicura la soluzione di risoluzione dei nomi.This DNS server is not configurable and is managed by the Azure fabric manager, thus making it a secure name resolution solution.
  • Server DNS personalizzato: è possibile scegliere di inserire un server DNS a propria scelta nella rete virtuale di Azure.Bring your own DNS server – you have the option of putting a DNS server of your own choosing on your Azure Virtual Network. Può essere un server DNS integrato con Active Directory oppure una soluzione server DNS fornita da un partner di Azure, che è possibile ottenere da Azure Marketplace.This DNS server could be an Active Directory integrated DNS server, or a dedicated DNS server solution provided by an Azure partner, which you can obtain from the Azure Marketplace.

Altre informazioni:Learn more:

Per la risoluzione DNS esterna sono disponibili due opzioni:For external DNS resolution, you have two options:

  • Ospitare il server DNS personalizzato esterno in locale.Host your own external DNS server on-premises
  • Ospitare il server DNS personalizzato esterno presso un provider di servizi.Host your own external DNS server with a service provider

Molte grandi organizzazioni ospitano i propri server DNS in locale.Many large organizations will host their own DNS servers on-premises. Lo fanno avendo l'esperienza di rete e la presenza globale necessarie per scegliere questo approccio.They can do this because they have the networking expertise and global presence to do so.

Nella maggior parte dei casi è consigliabile ospitare i servizi di risoluzione dei nomi DNS presso un provider di servizi.In most cases, it’s better to host your DNS name resolution services with a service provider. I provider di servizi hanno l'esperienza di rete e la presenza globale per garantire una disponibilità molto elevata per i servizi di risoluzione dei nomi.These service providers have the network expertise and global presence to ensure very high availability for your name resolution services. La disponibilità è essenziale per i servizi DNS, perché se la risoluzione dei nomi non riesce, nessuno sarà in grado di raggiungere i servizi con connessione Internet.Availability is essential for DNS services because if your name resolution services fail, no one will be able to reach your Internet facing services.

Azure offre una soluzione DNS esterna a disponibilità elevata e ad alte prestazioni sotto forma di DNS Azure.Azure provides you a highly available and performant external DNS solution in the form of Azure DNS. Questa soluzione di risoluzione dei nomi esterna sfrutta l'infrastruttura DNS di Azure in tutto il mondo.This external name resolution solution takes advantage of the worldwide Azure DNS infrastructure. Consente di ospitare i domini in Azure con le credenziali, le API, gli strumenti e la fatturazione usati per gli altri servizi di Azure.It allows you to host your domain in Azure using the same credentials, APIs, tools, and billing as your other Azure services. Come parte di Azure, eredita anche i controlli di sicurezza avanzati integrati nella piattaforma.As part of Azure, it also inherits the strong security controls built into the platform.

Altre informazioni:Learn more:

Architettura della rete perimetraleDMZ Architecture

Molte organizzazioni aziendali usano le reti perimetrali per segmentare le proprie reti e creare una zona buffer tra Internet e i servizi locali.Many enterprise organizations use DMZs to segment their networks to create a buffer-zone between the Internet and their services. La parte rete perimetrale della rete è considerata una zona a bassa sicurezza e nessun asset critico viene inserito in quel segmento di rete.The DMZ portion of the network is considered a low-security zone and no high-value assets are placed in that network segment. In genere, sono presenti dispositivi di sicurezza di rete con un'interfaccia di rete sul segmento di rete perimetrale e un'altra interfaccia di rete connessa a una rete con le macchine virtuali e i servizi che accettano connessioni in ingresso da Internet.You’ll typically see network security devices that have a network interface on the DMZ segment and another network interface connected to a network that has virtual machines and services that accept inbound connections from the Internet.

Esistono numerose varianti di progettazione per una rete perimetrale e la decisione di distribuire una rete perimetrale e quindi quale tipo usare è basata su requisiti di sicurezza di rete specifici.There are a number of variations of DMZ design and the decision to deploy a DMZ, and then what type of DMZ to use if you decide to use one, is based on your network security requirements.

Altre informazioni:Learn more:

Monitoraggio e rilevamento delle minacceMonitoring and threat detection

Per aiutare in questo settore chiave, Azure offre funzionalità come il rilevamento tempestivo, il monitoraggio e la possibilità di raccogliere ed esaminare il traffico di rete.Azure provides capabilities to help you in this key area with early detection, monitoring and the ability to collect and review network traffic.

Azure Network WatcherAzure Network Watcher

Azure Network Watcher include molte funzionalità per la risoluzione dei problemi e fornisce un nuovo e completo set di strumenti di supporto per l'identificazione dei problemi di sicurezza.Azure Network Watcher includes a large number of capabilities that help with troubleshooting as well as provide a whole new set of tools to assist with the identification of security issues.

Visualizzazione Gruppo di sicurezza è utile per la conformità di controllo e protezione delle macchine virtuali e può essere usato per eseguire controlli a livello di codice confrontando i criteri di base definiti dall'organizzazione alle regole effettive per ognuna delle VM.Security Group View helps with auditing and security compliance of Virtual Machines and can be used to perform programmatic audits comparing the baselines policies defined by your organization to effective rules for each of your VMs. Ciò consente di identificare eventuali deviazioni della configurazione.This can help you identify any configuration drift.

Acquisizione pacchetti consente di acquisire il traffico di rete da e verso la macchina virtuale.Packet capture allows you to capture network traffic to and from the virtual machine. Oltre a essere d'aiuto in quanto consente di raccogliere le statistiche di rete e di risolvere i problemi dell'applicazione, l'acquisizione pacchetti può essere utile per analizzare le intrusioni nella rete.Besides helping by allowing you to collect network statistics and with the troubleshooting of application issues packet capture can be invaluable in the investigation of network intrusions. Questa funzionalità può essere usata anche con Funzioni di Azure per avviare acquisizioni di rete in risposta ad avvisi specifici di Azure.You can also use this functionality together with Azure Functions to start network captures in response to specific Azure alerts.

Per altre informazioni su Azure Network Watcher e su come avviare il test di alcune delle funzionalità nei laboratori, vedere Azure network watcher monitoring overview (Panoramica del monitoraggio di Azure Network Watcher)For more information on Azure Network Watcher and how to start testing some of the functionality in your labs take a look at the Azure network watcher monitoring overview

Nota

Azure Network Watcher è attualmente in versione di anteprima pubblica e potrebbe non offrire lo stesso livello di disponibilità e affidabilità dei servizi presenti nella versione con disponibilità generale.Azure Network watcher is still in public preview so it may not have the same level of availability and reliability as services that are in general availability release. Alcune funzionalità potrebbero non essere supportate, potrebbero avere funzioni limitate o potrebbero non essere disponibili in tutte le località di Azure.Certain features may not be supported, may have constrained capabilities, and may not be available in all Azure locations. Per ricevere le notifiche più aggiornate sulla disponibilità e lo stato di questo servizio, vedere la pagina degli aggiornamenti di AzureFor the most up-to-date notifications on availability and status of this service, check the Azure updates page

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza consente di prevenire, rilevare e rispondere alle minacce e fornisce livelli avanzati di visibilità e controllo della sicurezza delle risorse di Azure.Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio set di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a large set of security solutions.

Il Centro sicurezza di Azure aiuta a ottimizzare e monitorare la sicurezza di rete offrendo:Azure Security Center helps you optimize and monitor network security by:

  • Suggerimenti per la sicurezza di reteProviding network security recommendations
  • Monitoraggio dello stato della configurazione della sicurezza di reteMonitoring the state of your network security configuration
  • Avvisi relativi alle minacce basate sulla rete a livello di endpoint e di reteAlerting you to network based threats both at the endpoint and network levels

Altre informazioni:Learn more:

RegistrazioneLogging

La registrazione a livello di rete è una funzione chiave per qualsiasi scenario di sicurezza di rete.Logging at a network level is a key function for any network security scenario. In Azure è possibile registrare le informazioni ottenute per i gruppi di sicurezza di rete per avere informazioni di registrazione a livello di rete.In Azure, you can log information obtained for Network Security Groups to get network level logging information. Con la registrazione dei gruppi di sicurezza di rete si ottengono informazioni da:With NSG logging, you get information from:

  • Log attività: vengono usati per visualizzare tutte le operazioni inviate alle sottoscrizioni di Azure.Activity logs – these logs are used to view all operations submitted to your Azure subscriptions. Questi log sono abilitati per impostazione predefinita e possono essere usati nel portale di Azure.These logs are enabled by default and can be used within the Azure portal. In precedenza erano noti come "log di controllo" o "log operativi".They were previously known as "Audit logs" or "Operational Logs".
  • Log eventi: forniscono informazioni sulle regole applicate ai gruppi di sicurezza di rete.Event logs – these logs provide information about what NSG rules were applied.
  • Log contatori: consentono di sapere quante volte ogni regola dei gruppi di sicurezza di rete è stata applicata per rifiutare o consentire il traffico.Counter logs – these logs let you know how many times each NSG rule was applied to deny or allow traffic.

Per visualizzare e analizzare questi log è anche possibile usare Microsoft Power BI, uno strumento avanzato di visualizzazione dei dati.You can also use Microsoft Power BI, a powerful data visualization tool, to view and analyze these logs.

Altre informazioni:Learn more: