Panoramica della sicurezza di rete di AzureAzure network security overview

Azure dispone di una solida infrastruttura di rete per supportare i requisiti di connettività di applicazioni e servizi.Azure includes a robust networking infrastructure to support your application and service connectivity requirements. La connettività di rete è possibile tra le risorse residenti in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

Lo scopo di questo articolo è spiegare i vantaggi che Azure offre nell'area della sicurezza di rete.The goal of this article is to explain what Azure offers in the area of network security. Oltre alla spiegazioni di base sui concetti fondamentali e sui requisiti della sicurezza di rete, l'articolo illustra anche gli argomenti seguenti:In addition to basic explanations about core network security concepts and requirements, you can learn about:

  • Rete di AzureAzure networking
  • Controllo di accesso alla reteNetwork access control
  • Accesso remoto sicuro e connettività cross-premiseSecure remote access and cross-premises connectivity
  • DisponibilitàAvailability
  • Risoluzione dei nomiName resolution
  • Architettura di rete perimetralePerimeter network (DMZ) architecture
  • Monitoraggio e rilevamento delle minacceMonitoring and threat detection

Rete di AzureAzure networking

La connettività di rete è indispensabile per le macchine virtuali.Virtual machines need network connectivity. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a Rete virtuale di Azure.To support that requirement, Azure requires virtual machines to be connected to Azure Virtual Network. Una rete virtuale è un costrutto logico basato sull'infrastruttura di rete fisica di Azure.A virtual network is a logical construct built on top of the physical Azure network fabric. Ogni rete virtuale logica è isolata da tutte le altre reti virtuali.Each logical virtual network is isolated from all other virtual networks. Ciò aiuta a garantire che il traffico di rete nelle distribuzioni di un utente non sia accessibile ad altri clienti di Azure.This helps ensure that network traffic in your deployments is not accessible to other Azure customers.

Altre informazioni:Learn more:

Controllo di accesso alla reteNetwork access control

Il controllo di accesso alla rete consiste nel limitare la connettività da e verso subnet o dispositivi specifici all'interno di una rete virtuale.Network access control is the act of limiting connectivity to and from specific devices or subnets within a virtual network. L'obiettivo del controllo di accesso alla rete è di limitare agli utenti e ai dispositivi autorizzati l'accesso a macchine virtuali e servizi.The goal of network access control is to limit access to your virtual machines and services to approved users and devices. I controlli di accesso si basano sulla decisione di consentire o negare connessioni da e verso una macchina virtuale o un servizio.Access controls are based on decisions to allow or deny connections to and from your virtual machine or service.

Azure supporta numerosi tipi di controllo di accesso alla rete, tra cui:Azure supports several types of network access control, such as:

  • Controllo a livello reteNetwork layer control
  • Controllo di route e tunneling forzatoRoute control and forced tunneling
  • Appliance di sicurezza di rete virtualeVirtual network security appliances

Controllo a livello reteNetwork layer control

Qualsiasi distribuzione sicura richiede alcune misure di controllo di accesso alla rete.Any secure deployment requires some measure of network access control. Lo scopo del controllo di accesso alla rete è di limitare la comunicazione delle macchine virtuali ai sistemi necessariThe goal of network access control is to restrict virtual machine communication to the necessary systems. e di bloccare gli altri tentativi di comunicazione.Other communication attempts are blocked.

Se è necessario un controllo di accesso di base a livello di rete, basato sull'indirizzo IP e sul protocollo TCP o UDP, è possibile usare i gruppi di sicurezza di rete (NSG).If you need basic network level access control (based on IP address and the TCP or UDP protocols), you can use Network Security Groups (NSGs). Un gruppo di sicurezza di rete è un firewall di base e con stato che filtra i pacchetti e consente di gestire l'accesso in base a 5 tuple.An NSG is a basic, stateful, packet filtering firewall, and it enables you to control access based on a 5-tuple. Gli NSG non forniscono ispezione a livello dell'applicazione o controlli di accesso autenticato.NSGs do not provide application layer inspection or authenticated access controls.

Altre informazioni:Learn more:

Controllo di route e tunneling forzatoRoute control and forced tunneling

La possibilità di controllare il comportamento di routing delle reti virtuali è fondamentale.The ability to control routing behavior on your virtual networks is critical. Se il routing non è configurato correttamente, è possibile che le applicazioni e i servizi ospitati nella macchina virtuale si connettano a dispositivi non autorizzati, inclusi sistemi di proprietà e gestiti da potenziali utenti malintenzionati.If routing is configured incorrectly, applications and services hosted on your virtual machine might connect to unauthorized devices, including systems owned and operated by potential attackers.

La rete di Azure supporta la personalizzazione del comportamento di routing per il traffico di rete nelle reti virtuali.Azure networking supports the ability to customize the routing behavior for network traffic on your virtual networks. Ciò consente di modificare le voci predefinite della tabella di routing nella rete virtuale.This enables you to alter the default routing table entries in your virtual network. Il controllo del comportamento di routing consente di assicurarsi che tutto il traffico in ingresso o in uscita da un determinato dispositivo o gruppo di dispositivi nella rete virtuale avvenga attraverso un percorso specifico.Control of routing behavior helps you make sure that all traffic from a certain device or group of devices enters or leaves your virtual network through a specific location.

Si supponga ad esempio che nella rete virtuale sia presente un'appliance di sicurezza di rete virtuale.For example, you might have a virtual network security appliance on your virtual network. Si vuole essere certi che tutto il traffico da e verso la rete virtuale passi attraverso l'appliance di sicurezza virtuale.You want to make sure that all traffic to and from your virtual network goes through that virtual security appliance. È possibile a tale scopo configurare route definite dall'utente in Azure.You can do this by configuring User Defined Routes (UDRs) in Azure.

Il tunneling forzato è un meccanismo che può essere usato per assicurarsi che ai servizi sia impedito di stabilire una connessione a dispositivi in Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the internet. Questo approccio è diverso dall'accettare connessioni in ingresso e rispondere alle richieste.Note that this is different from accepting incoming connections and then responding to them. I server Web front-end devono rispondere alle richieste dagli host in Internet e, di conseguenza, il traffico originato da Internet è consentito in ingresso a questi server Web, che sono autorizzati a rispondere.Front-end web servers need to respond to requests from internet hosts, and so internet-sourced traffic is allowed inbound to these web servers and the web servers are allowed to respond.

Non si vuole invece consentire a un server Web front-end di avviare una richiesta in uscita.What you don’t want to allow is a front-end web server to initiate an outbound request. Tali richieste possono rappresentare un rischio per la sicurezza perché queste connessioni possono essere usate per scaricare malware.Such requests might represent a security risk because these connections can be used to download malware. Anche nel caso in cui si voglia consentire ai server front-end di avviare richieste in uscita verso Internet, è consigliabile imporre il passaggio tramite proxy Web locali.Even if you do want these front-end servers to initiate outbound requests to the internet, you might want to force them to go through your on-premises web proxies. Ciò consente di usufruire dei vantaggi della registrazione e del filtro degli URL.This enables you to take advantage of URL filtering and logging.

Per evitare tutto questo, è preferibile usare invece il tunneling forzato.Instead, you would want to use forced tunneling to prevent this. Quando si abilita il tunneling forzato, tutte le connessioni verso Internet devono forzatamente passare attraverso il gateway locale.When you enable forced tunneling, all connections to the internet are forced through your on-premises gateway. È possibile configurare il tunneling forzato usufruendo dei vantaggi delle route definite dall'utente.You can configure forced tunneling by taking advantage of UDRs.

Altre informazioni:Learn more:

Appliance di sicurezza di rete virtualeVirtual network security appliances

Sebbene i gruppi di sicurezza di rete, le route definite dall'utente e il tunneling forzato offrano un certo grado di sicurezza ai livelli di rete e trasporto del modello OSI, è possibile che si desideri abilitare la sicurezza a livelli superiori rispetto a quello di rete.While NSGs, UDRs, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, you might also want to enable security at levels higher than the network.

Ad esempio, i requisiti di sicurezza possono includere:For example, your security requirements might include:

  • Autenticazione e autorizzazione prima di consentire l'accesso all'applicazioneAuthentication and authorization before allowing access to your application
  • Rilevamento delle intrusioni e relativa rispostaIntrusion detection and intrusion response
  • Ispezione a livello dell'applicazione per i protocolli di alto livelloApplication layer inspection for high-level protocols
  • Filtro degli URLURL filtering
  • Antimalware e antivirus a livello di reteNetwork level antivirus and antimalware
  • Protezione anti-robotAnti-bot protection
  • Controllo di accesso all'applicazioneApplication access control
  • Protezione DDoS aggiuntiva, oltre alla protezione DDoS inclusa nell'infrastruttura stessa di AzureAdditional DDoS protection (above the DDoS protection provided by the Azure fabric itself)

È possibile accedere a queste funzionalità di sicurezza di rete avanzate usando una soluzione dei partner di Azure.You can access these enhanced network security features by using an Azure partner solution. Le soluzioni di sicurezza di rete più recenti offerte dai partner Azure sono disponibili in Azure Marketplace cercando "sicurezza" e "sicurezza di rete".You can find the most current Azure partner network security solutions by visiting the Azure Marketplace, and searching for “security” and “network security.”

Accesso remoto sicuro e connettività cross-premiseSecure remote access and cross-premises connectivity

Le operazioni di installazione, configurazione e gestione delle risorse di Azure devono essere eseguite in modalità remota.Setup, configuration, and management of your Azure resources needs to be done remotely. È inoltre possibile che si voglia distribuire soluzioni di IT ibrido costituite da componenti che si trovano sia in locale che nel cloud pubblico di Azure.In addition, you might want to deploy hybrid IT solutions that have components on-premises and in the Azure public cloud. Questi scenari richiedono l'accesso remoto sicuro.These scenarios require secure remote access.

Rete di Azure supporta gli scenari di accesso remoto sicuro seguenti:Azure networking supports the following secure remote access scenarios:

  • Connessione di workstation individuali a una rete virtualeConnect individual workstations to a virtual network
  • Connessione della rete locale a una rete virtuale tramite una VPNConnect your on-premises network to a virtual network with a VPN
  • Connessione della rete locale a una rete virtuale tramite un collegamento WAN dedicatoConnect your on-premises network to a virtual network with a dedicated WAN link
  • Connessione di reti virtuali tra loroConnect virtual networks to each other

Connessione di workstation individuali a una rete virtualeConnect individual workstations to a virtual network

È possibile che si desideri consentire a singoli sviluppatori o al personale operativo di gestire le macchine virtuali e i servizi in Azure.You might want to enable individual developers or operations personnel to manage virtual machines and services in Azure. Si supponga ad esempio di dover accedere a una macchina virtuale in una rete virtuale.For example, let's say you need access to a virtual machine on a virtual network. I criteri di protezione applicati tuttavia non consentono l'accesso remoto RDP o SSH a singole macchine virtuali.But your security policy does not allow RDP or SSH remote access to individual virtual machines. In questo caso, è possibile usare una connessione VPN da punto a sito.In this case, you can use a point-to-site VPN connection.

Questo tipo di connessione usa il protocollo VPN SSTP che consente di configurare una connessione privata e sicura tra l'utente e la rete virtuale.The point-to-site VPN connection uses the SSTP VPN protocol to enable you to set up a private and secure connection between the user and the virtual network. Quando viene stabilita la connessione VPN, l'utente può usare RDP o SSH tramite il collegamento VPN in una macchina virtuale qualsiasi nella rete virtuale.When the VPN connection is established, the user can RDP or SSH over the VPN link into any virtual machine on the virtual network. Si presume che l'utente possa eseguire l'autenticazione e disponga delle autorizzazioni.(This assumes that the user can authenticate and is authorized.)

Altre informazioni:Learn more:

Connessione della rete locale a una rete virtuale tramite una VPNConnect your on-premises network to a virtual network with a VPN

È possibile che si desideri connettere l'intera rete aziendale, o parti di essa, a una rete virtuale.You might want to connect your entire corporate network, or portions of it, to a virtual network. Questo approccio è comune negli scenari di IT ibrido in cui le aziende estendono il data center locale ad Azure.This is common in hybrid IT scenarios, where organizations extend their on-premises datacenter into Azure. In molti casi, le organizzazioni ospitano parti di un servizio in Azure e parti in locale.In many cases, organizations host parts of a service in Azure, and parts on-premises. Questo approccio potrebbe essere utile, ad esempio, quando una soluzione include server Web front-end in Azure e database back-end locali.For example,they might do so when a solution includes front-end web servers in Azure and back-end databases on-premises. Questo tipo di connessioni "cross-premise" rende anche più sicura la gestione delle risorse residenti in Azure e apre a scenari come l'estensione di controller di dominio Active Directory in Azure.These types of “cross-premises” connections also make management of Azure located resources more secure, and enable scenarios such as extending Active Directory domain controllers into Azure.

A questo scopo è possibile usare una VPN da sito a sito.One way to accomplish this is to use a site-to-site VPN. La differenza tra una VPN da sito a sito e una VPN da punto a sito è che quest'ultima connette un dispositivo singolo a una rete virtuale.The difference between a site-to-site VPN and a point-to-site VPN is that the latter connects a single device to a virtual network. Una VPN da sito a sito connette un'intera rete, ad esempio quella locale, a una rete virtuale.A site-to-site VPN connects an entire network (such as your on-premises network) to a virtual network. Le VPN da sito a sito che si connettono a una rete virtuale usano il protocollo VPN in modalità tunnel IPsec altamente sicuro.Site-to-site VPNs to a virtual network use the highly secure IPsec tunnel mode VPN protocol.

Altre informazioni:Learn more:

Le connessioni VPN da punto a sito e da sito a sito consentono di abilitare la connettività cross-premise in modo efficace.Point-to-site and site-to-site VPN connections are effective for enabling cross-premises connectivity. Alcune organizzazioni ritengono tuttavia che queste connessioni presentino gli svantaggi seguenti:However, some organizations consider them to have the following drawbacks:

  • Le connessioni VPN spostano dati attraverso Internet,VPN connections move data over the internet. quindi sono esposte ai potenziali problemi di sicurezza che caratterizzano lo spostamento di dati su una rete pubblica.This exposes these connections to potential security issues involved with moving data over a public network. Per le connessioni Internet non è inoltre possibile garantire l'affidabilità e la disponibilità.In addition, reliability and availability for internet connections cannot be guaranteed.
  • Le connessioni VPN a reti virtuali possono non avere la larghezza di banda necessaria per alcune applicazioni e adatta ad alcuni scopi, perché raggiungono una velocità massima di circa 200 Mbps.VPN connections to virtual networks might not have the bandwidth for some applications and purposes, as they max out at around 200 Mbps.

Le organizzazioni che necessitano del massimo livello di sicurezza e disponibilità per le connessioni cross-premise usano in genere collegamenti WAN dedicati per connettersi a siti remoti.Organizations that need the highest level of security and availability for their cross-premises connections typically use dedicated WAN links to connect to remote sites. Azure consente di usare un collegamento WAN dedicato per connettere la rete locale a una rete virtuale.Azure provides you the ability to use a dedicated WAN link that you can use to connect your on-premises network to a virtual network. Questo collegamento si basa su Azure ExpressRoute.Azure ExpressRoute enables this.

Altre informazioni:Learn more:

Connessione di reti virtuali tra loroConnect virtual networks to each other

Per le distribuzioni si possono usare molte reti virtuali.It is possible to use many virtual networks for your deployments. I motivi sono vari.There are various reasons why you might do this. Si potrebbe volere semplificare la gestione o aumentare la protezione.You might want to simplify management, or you might want increased security. Indipendentemente dalla motivazione per cui si sceglie di distribuire le risorse tra reti virtuali diverse, a volte può essere opportuno stabilire una connessione tra le risorse disponibili in ognuna delle reti.Regardless of the motivation for putting resources on different virtual networks, there might be times when you want resources on each of the networks to connect with one another.

Una soluzione può consistere nel connettere i servizi in una rete virtuale a quelli in un'altra rete virtuale con un "loopback" tramite Internet.One option is for services on one virtual network to connect to services on another virtual network, by “looping back” through the internet. La connessione viene avviata in una rete virtuale, passa attraverso Internet e quindi ritorna alla rete virtuale di destinazione.The connection starts on one virtual network, goes through the internet, and then comes back to the destination virtual network. Questa opzione espone la connessione ai problemi di sicurezza che caratterizzano tutte le comunicazioni basate su Internet.This option exposes the connection to the security issues inherent in any internet-based communication.

Un'opzione migliore potrebbe essere quella di creare una VPN da sito a sito che connette due reti virtuali.A better option might be to create a site-to-site VPN that connects between two virtual networks. Questa modalità usa lo stesso protocollo in modalità tunnel IPsec della connessione VPN da sito a sito cross premise citata in precedenza.This method uses the same IPsec tunnel mode protocol as the cross-premises site-to-site VPN connection mentioned above.

Il vantaggio che deriva da questo approccio consiste nel fatto che la connessione VPN viene stabilita sull'infrastruttura di rete di Azure, anziché tramite Internet.The advantage of this approach is that the VPN connection is established over the Azure network fabric, instead of connecting over the internet. Questo approccio offre un livello di sicurezza aggiuntivo rispetto alle VPN da sito a sito che si connettono tramite Internet.This provides you an extra layer of security, compared to site-to-site VPNs that connect over the internet.

Altre informazioni:Learn more:

DisponibilitàAvailability

La disponibilità è un componente fondamentale di qualsiasi programma di sicurezza.Availability is a key component of any security program. Se gli utenti e i sistemi non possono accedere alle risorse necessarie attraverso la rete, il servizio può essere considerato compromesso.If your users and systems can’t access what they need to access over the network, the service can be considered compromised. Azure offre tecnologie di rete che supportano i meccanismi a disponibilità elevata seguenti:Azure has networking technologies that support the following high-availability mechanisms:

  • Bilanciamento del carico basato su HTTPHTTP-based load balancing
  • Bilanciamento del carico a livello di reteNetwork level load balancing
  • Bilanciamento del carico globaleGlobal load balancing

Il meccanismo di bilanciamento del carico è progettato per distribuire equamente le connessioni tra più dispositivi.Load balancing is a mechanism designed to equally distribute connections among multiple devices. Ecco gli obiettivi del processo di bilanciamento del carico:The goals of load balancing are:

  • Aumentare la disponibilità.To increase availability. Quando si bilancia il carico delle connessioni tra più dispositivi, uno o più dispositivi possono diventare non disponibili senza compromettere il servizio.When you load balance connections across multiple devices, one or more of the devices can become unavailable without compromising the service. I servizi in esecuzione nei restanti dispositivi online possono continuare a rendere disponibile il contenuto dal servizio.The services running on the remaining online devices can continue to serve the content from the service.
  • Aumentare le prestazioni.To increase performance. Quando si bilancia il carico delle connessioni tra più dispositivi, non è un singolo dispositivo a dover assorbire l'intero carico di elaborazione.When you load balance connections across multiple devices, a single device doesn’t have to handle all processing. Al contrario, le richieste di elaborazione e memoria per gestire il contenuto vengono distribuite tra più dispositivi.Instead, the processing and memory demands for serving the content is spread across multiple devices.

Bilanciamento del carico basato su HTTPHTTP-based load balancing

Le organizzazioni che eseguono servizi basati sul Web spesso preferiscono implementare un servizio di bilanciamento del carico basato su HTTP a monte di tali servizi Web.Organizations that run web-based services often desire to have an HTTP-based load balancer in front of those web services. Ciò consente di garantire livelli di prestazioni adeguati e disponibilità elevata.This helps ensure adequate levels of performance and high availability. I servizi di bilanciamento del carico basati sulla rete tradizionali si basano su protocolli dei livelli di trasporto e di rete.Traditional, network-based load balancers rely on network and transport layer protocols. I servizi di bilanciamento del carico basati su HTTP, d'altro canto, prendono decisioni in base alle caratteristiche del protocollo HTTP.HTTP-based load balancers, on the other hand, make decisions based on characteristics of the HTTP protocol.

Il gateway applicazione di Azure offre il bilanciamento del carico basato su HTTP per i servizi basati sul Web.Azure Application Gateway provides HTTP-based load balancing for your web-based services. Il gateway applicazione supporta:Application Gateway supports:

  • Affinità di sessione basata su cookieCookie-based session affinity. Questa funzionalità garantisce che le connessioni stabilite a uno dei server controllati dal servizio di bilanciamento del carico restino inalterate tra il client e il server.This capability makes sure that connections established to one of the servers behind that load balancer stays intact between the client and server. In questo modo si assicura la stabilità delle transazioni.This ensures stability of transactions.
  • Offload SSLSSL offload. Quando un client si connette con il servizio di bilanciamento del carico, la sessione viene crittografata tramite l'utilizzo del protocollo HTTPS (SSL).When a client connects with the load balancer, that session is encrypted by using the HTTPS (SSL) protocol. Per migliorare le prestazioni, è tuttavia possibile usare il protocollo HTTP (senza crittografia) per la connessione tra il servizio di bilanciamento del carico e il server Web controllato dal servizio di bilanciamento del carico.However, in order to increase performance, you can use the HTTP (unencrypted) protocol to connect between the load balancer and the web server behind the load balancer. Questa modalità è definita "offload SSL", perché i server Web controllati dal servizio di bilanciamento del carico non sono soggetti al sovraccarico del processore interessato dalla crittografiaThis is referred to as “SSL offload,” because the web servers behind the load balancer don’t experience the processor overhead involved with encryption. e quindi saranno in grado di soddisfare le richieste più rapidamente.The web servers can therefore service requests more quickly.
  • Routing di contenuto basato su URL.URL-based content routing. Questa funzionalità consente al servizio di bilanciamento del carico di scegliere dove inoltrare le connessioni in base all'URL di destinazione,This feature makes it possible for the load balancer to make decisions about where to forward connections based on the target URL. offrendo quindi maggiore flessibilità rispetto alle soluzioni che prendono decisioni sul bilanciamento del carico in base agli indirizzi IP.This provides a lot more flexibility than solutions that make load balancing decisions based on IP addresses.

Altre informazioni:Learn more:

Bilanciamento del carico a livello di reteNetwork level load balancing

A differenza del bilanciamento del carico basato su HTTP, il bilanciamento del carico a livello di rete prende decisioni in base all'indirizzo IP e ai numeri di porta (TCP o UDP).In contrast to HTTP-based load balancing, network level load balancing makes decisions based on IP address and port (TCP or UDP) numbers. È possibile usufruire dei vantaggi del bilanciamento del carico a livello di rete in Azure tramite Azure Load Balancer.You can gain the benefits of network level load balancing in Azure by using Azure Load Balancer. Alcune delle caratteristiche principali di Azure Load Balancer includono:Some key characteristics of Load Balancer include:

  • Bilanciamento del carico a livello di rete in base all'indirizzo IP e ai numeri di porta.Network level load balancing based on IP address and port numbers.
  • Supporto per qualsiasi protocollo a livello di applicazione.Support for any application layer protocol.
  • Bilanciamento del carico tra macchine virtuali di Azure e istanze del ruolo di Servizi cloud.Load balances to Azure virtual machines and cloud services role instances.
  • Può essere usato per applicazioni e macchine virtuali con connessione Internet (bilanciamento del carico esterno) e senza connessione Internet (bilanciamento del carico interno).Can be used for both internet-facing (external load balancing) and non-internet facing (internal load balancing) applications and virtual machines.
  • Monitoraggio di endpoint, che viene usato per determinare se i servizi controllati dal servizio di bilanciamento del carico sono diventati non disponibili.Endpoint monitoring, which is used to determine if any of the services behind the load balancer have become unavailable.

Altre informazioni:Learn more:

Bilanciamento del carico globaleGlobal load balancing

Alcune organizzazioni vogliono poter contare sul massimo livello di disponibilità possibile.Some organizations want the highest level of availability possible. Un modo per raggiungere questo obiettivo consiste nell'ospitare applicazioni in data center distribuiti a livello globale.One way to reach this goal is to host applications in globally distributed datacenters. Quando un'applicazione è ospitata in data center dislocati in tutto il mondo, un'intera area geopolitica può diventare non disponibile, ma l'applicazione continua a essere operativa.When an application is hosted in datacenters located throughout the world, it’s possible for an entire geopolitical region to become unavailable, and still have the application up and running.

Questa strategia di bilanciamento del carico può avvantaggiare le prestazioni.This load-balancing strategy can also yield performance benefits. È possibile indirizzare le richieste per il servizio al data center più vicino al dispositivo che effettua la richiesta.You can direct requests for the service to the datacenter that is nearest to the device that is making the request.

In Azure è possibile ottenere i vantaggi del bilanciamento del carico globale tramite Gestione traffico di Azure.In Azure, you can gain the benefits of global load balancing by using Azure Traffic Manager.

Altre informazioni:Learn more:

Risoluzione dei nomiName resolution

La risoluzione dei nomi è una funzione critica per tutti i servizi ospitati in Azure.Name resolution is a critical function for all services you host in Azure. Dal punto di vista della sicurezza la compromissione della funzione di risoluzione dei nomi può consentire a un utente malintenzionato di reindirizzare le richieste dai siti dell'utente al suo sito.From a security perspective, compromise of the name resolution function can lead to an attacker redirecting requests from your sites to an attacker’s site. La sicurezza della risoluzione dei nomi è un requisito per tutti i servizi cloud ospitati.Secure name resolution is a requirement for all your cloud hosted services.

Esistono due tipi di risoluzione dei nomi che occorre considerare:There are two types of name resolution you need to address:

  • Risoluzione dei nomi interna.Internal name resolution. Viene usata dai servizi nelle reti virtuali, nelle reti locali o in entrambe.This is used by services on your virtual networks, your on-premises networks, or both. I nomi usati per la risoluzione dei nomi interna non sono accessibili tramite Internet.Names used for internal name resolution are not accessible over the internet. Per una sicurezza ottimale, è importante che lo schema di risoluzione dei nomi interna non sia accessibile a utenti esterni.For optimal security, it’s important that your internal name resolution scheme is not accessible to external users.
  • Risoluzione dei nomi esterna.External name resolution. Viene usata da utenti e dispositivi che si trovano all'esterno delle reti locali e delle reti virtuali.This is used by people and devices outside of your on-premises networks and virtual networks. Questi sono i nomi visibili su Internet e vengono usati per connettersi direttamente ai servizi basati sul cloud.These are the names that are visible to the internet, and are used to direct connection to your cloud-based services.

Per la risoluzione dei nomi interna sono disponibili due opzioni:For internal name resolution, you have two options:

  • Un server DNS di rete virtuale.A virtual network DNS server. Quando si crea una nuova rete virtuale, viene creato automaticamente un server DNS.When you create a new virtual network, a DNS server is created for you. Questo server DNS può risolvere i nomi dei computer che si trovano nella rete virtuale.This DNS server can resolve the names of the machines located on that virtual network. Il server DNS non è configurabile, viene gestito dal servizio di gestione dell'infrastruttura di Azure e aiuta pertanto a rendere sicura la soluzione di risoluzione dei nomi.This DNS server is not configurable, is managed by the Azure fabric manager, and can therefore help you secure your name resolution solution.
  • Un server DNS personalizzato.Bring your own DNS server. È possibile scegliere di inserire un server DNS a propria scelta nella rete virtuale.You have the option of putting a DNS server of your own choosing on your virtual network. Può essere un server DNS integrato con Active Directory oppure una soluzione di server DNS fornita da un partner Azure, che è possibile ottenere da Azure Marketplace.This DNS server can be an Active Directory integrated DNS server, or a dedicated DNS server solution provided by an Azure partner, which you can obtain from the Azure Marketplace.

Altre informazioni:Learn more:

Per la risoluzione dei nomi esterna sono disponibili due opzioni:For external name resolution, you have two options:

  • Ospitare il server DNS personalizzato esterno in locale.Host your own external DNS server on-premises.
  • Ospitare il server DNS personalizzato esterno presso un provider di servizi.Host your own external DNS server with a service provider.

Molte organizzazioni di grandi dimensioni ospitano i propri server DNS in locale.Many large organizations host their own DNS servers on-premises. Lo fanno avendo l'esperienza di rete e la presenza globale necessarie per scegliere questo approccio.They can do this because they have the networking expertise and global presence to do so.

Nella maggior parte dei casi è consigliabile ospitare i servizi di risoluzione dei nomi DNS presso un provider di servizi.In most cases, it’s better to host your DNS name resolution services with a service provider. I provider di servizi hanno l'esperienza di rete e la presenza globale per garantire una disponibilità molto elevata per i servizi di risoluzione dei nomi.These service providers have the network expertise and global presence to ensure very high availability for your name resolution services. La disponibilità è essenziale per i servizi DNS, perché se la risoluzione dei nomi ha esito negativo, nessuno sarà in grado di raggiungere i servizi con connessione Internet.Availability is essential for DNS services, because if your name resolution services fail, no one will be able to reach your internet facing services.

Azure offre una soluzione DNS esterna a disponibilità elevata e ad alte prestazioni sotto forma di DNS di Azure.Azure provides you with a highly available and performant external DNS solution in the form of Azure DNS. Questa soluzione di risoluzione dei nomi esterna sfrutta l'infrastruttura DNS di Azure in tutto il mondo.This external name resolution solution takes advantage of the worldwide Azure DNS infrastructure. Consente di ospitare i domini in Azure con le credenziali, le API, gli strumenti e la fatturazione usati per gli altri servizi di Azure.It allows you to host your domain in Azure, using the same credentials, APIs, tools, and billing as your other Azure services. Come parte di Azure, eredita anche i controlli di sicurezza avanzati integrati nella piattaforma.As part of Azure, it also inherits the strong security controls built into the platform.

Altre informazioni:Learn more:

Architettura di rete perimetralePerimeter network architecture

Molte organizzazioni di grandi dimensioni usano reti perimetrali per segmentare le proprie reti e creare una zona buffer tra Internet e i servizi che offrono.Many large organizations use perimeter networks to segment their networks, and create a buffer-zone between the internet and their services. La parte di rete perimetrale della rete è considerata una zona a bassa sicurezza e nessun asset critico viene inserito in quel segmento di rete.The perimeter portion of the network is considered a low-security zone, and no high-value assets are placed in that network segment. Si vedono in genere dispositivi di sicurezza di rete con un'interfaccia di rete sul segmento di rete perimetrale.You’ll typically see network security devices that have a network interface on the perimeter network segment. Un'altra interfaccia di rete è connessa a una rete dotata di macchine virtuali e servizi che accettano le connessioni in ingresso da Internet.Another network interface is connected to a network that has virtual machines and services that accept inbound connections from the internet.

È possibile progettare una rete perimetrale in molti modi diversi.You can design perimeter networks in a number of different ways. La decisione di distribuire una rete perimetrale e l'eventuale tipo di rete perimetrale da usare varia in base ai requisiti di sicurezza di rete.The decision to deploy a perimeter network, and then what type of perimeter network to use if you decide to use one, depends on your network security requirements.

Altre informazioni:Learn more:

Monitoraggio e rilevamento delle minacceMonitoring and threat detection

Azure offre funzionalità che aiutano in questa area chiave con il rilevamento precoce, il monitoraggio, la raccolta e l'analisi del traffico di rete.Azure provides capabilities to help you in this key area with early detection, monitoring, and collecting and reviewing network traffic.

Azure Network WatcherAzure Network Watcher

Azure Network Watcher aiuta a risolvere i problemi e offre un nuovissimo set di strumenti per aiutare nell'identificazione dei problemi di sicurezza.Azure Network Watcher can help you troubleshoot, and provides a whole new set of tools to assist with the identification of security issues.

Visualizzazione Gruppo di sicurezza aiuta la conformità di controllo e protezione di Macchine virtuali di Microsoft Azure.Security Group View helps with auditing and security compliance of Virtual Machines. Questa funzionalità consente di eseguire controlli a livello di codice, confrontando i criteri di base definiti dalla propria organizzazione con le regole valide per ognuna delle proprie macchine virtuali.Use this feature to perform programmatic audits, comparing the baseline policies defined by your organization to effective rules for each of your VMs. Ciò consente di identificare eventuali deviazioni della configurazione.This can help you identify any configuration drift.

Acquisizione pacchetti consente di acquisire il traffico di rete da e verso la macchina virtuale.Packet capture allows you to capture network traffic to and from the virtual machine. È possibile raccogliere statistiche di rete e risolvere i problemi delle applicazioni, che possono rivelarsi estremamente utili nell'analisi delle intrusioni di rete.You can collect network statistics and troubleshoot application issues, which can be invaluable in the investigation of network intrusions. Questa funzionalità può inoltre essere usata con Funzioni di Azure per avviare acquisizioni di rete in risposta ad avvisi specifici di Azure.You can also use this feature together with Azure Functions to start network captures in response to specific Azure alerts.

Per altre informazioni su Network Watcher e su come avviare i test di alcune delle funzionalità nei laboratori, vedere Azure network watcher monitoring overview (Panoramica del monitoraggio di Azure Network Watcher).For more information on Network Watcher and how to start testing some of the functionality in your labs, see Azure network watcher monitoring overview.

Nota

Per ricevere le notifiche più aggiornate sulla disponibilità e lo stato di questo servizio, vedere la pagina degli aggiornamenti di Azure.For the most up-to-date notifications on availability and status of this service, check the Azure updates page.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza di Azure aiuta a impedire, rilevare e rispondere alle minacce offrendo visibilità e controllo avanzati della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio set di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a large set of security solutions.

Il servizio Centro sicurezza di Azure aiuta a ottimizzare e a monitorare la sicurezza di rete offrendo:Security Center helps you optimize and monitor network security by:

  • Suggerimenti per la sicurezza di reteProviding network security recommendations.
  • Monitoraggio dello stato della configurazione della sicurezza di reteMonitoring the state of your network security configuration.
  • Avvisi relativi alle minacce basate sulla rete a livello di endpoint e di rete.Alerting you to network based threats, both at the endpoint and network levels.

Altre informazioni:Learn more:

RegistrazioneLogging

La registrazione a livello di rete è una funzione chiave per qualsiasi scenario di sicurezza di rete.Logging at a network level is a key function for any network security scenario. In Azure è possibile registrare le informazioni ottenute per i gruppi di sicurezza di rete per avere informazioni di registrazione a livello di rete.In Azure, you can log information obtained for NSGs to get network level logging information. Con la registrazione dei gruppi di sicurezza di rete si ottengono informazioni da:With NSG logging, you get information from:

  • Log attività.Activity logs. Vengono usati per visualizzare tutte le operazioni inviate alle sottoscrizioni di Azure.Use these logs to view all operations submitted to your Azure subscriptions. Questi log sono abilitati per impostazione predefinita e possono essere usati nel portale di Azure.These logs are enabled by default, and can be used within the Azure portal. Nelle versioni precedenti sono noti come "log di controllo" o "log operativi".They were previously known as audit or operational logs.
  • Log eventi.Event logs. Forniscono informazioni sulle regole applicate ai gruppi di sicurezza di rete.These logs provide information about what NSG rules were applied.
  • Registri contatori.Counter logs. Consentono di sapere quante volte ogni regola dei gruppi di sicurezza di rete è stata applicata per rifiutare o consentire il traffico.These logs let you know how many times each NSG rule was applied to deny or allow traffic.

Per visualizzare e analizzare questi log è anche possibile usare Microsoft Power BI, uno strumento avanzato di visualizzazione dei dati.You can also use Microsoft Power BI, a powerful data visualization tool, to view and analyze these logs.

Altre informazioni:Learn more: