Informazioni generali sulla sicurezza di Macchine virtuali di AzureAzure Virtual Machines security overview

Con le Macchine virtuali di Azure è possibile distribuire in modo flessibile un'ampia gamma di soluzioni di elaborazione.You can use Azure Virtual Machines to deploy a wide range of computing solutions in an agile way. Il servizio supporta Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e servizi BizTalk di Azure.The service supports Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP, and Azure BizTalk Services. In questo modo è possibile distribuire qualsiasi carico di lavoro e implementare qualsiasi lingua su quasi tutti i sistemi operativi.So you can deploy any workload and any language on nearly any operating system.

Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza dover acquistare e gestire l'hardware fisico su cui è in esecuzione la macchina virtuale.An Azure virtual machine gives you the flexibility of virtualization without having to buy and maintain the physical hardware that runs the virtual machine. È possibile compilare e distribuire le applicazioni con la certezza che i dati saranno protetti e al sicuro nei nostri data center che offrono livelli di sicurezza elevati.You can build and deploy your applications with the assurance that your data is protected and safe in highly secure datacenters.

Con Azure è possibile creare soluzioni conformi con sicurezza avanzata che:With Azure, you can build security-enhanced, compliant solutions that:

  • Proteggono le macchine virtuali da virus e malware.Protect your virtual machines from viruses and malware.
  • Applicano la crittografia ai dati sensibili.Encrypt your sensitive data.
  • Proteggono il traffico di rete.Secure network traffic.
  • Identificano e rilevano minacce.Identify and detect threats.
  • Soddisfano i requisiti di conformità.Meet compliance requirements.

L'obiettivo di questo articolo è offrire informazioni generali sulle principali funzionalità di sicurezza di Azure per le macchine virtuali.The goal of this article is to provide an overview of the core Azure security features that can be used with virtual machines. I collegamenti agli articoli forniscono informazioni dettagliate su ogni funzionalità.Links to articles give details of each feature so you can learn more.

AntimalwareAntimalware

Con Azure è possibile usare software antimalware a cura dei principali fornitori di soluzioni di sicurezza, come Microsoft, Symantec, Trend Micro e Kaspersky.With Azure, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, and Kaspersky. Questo software consente di proteggere le macchine virtuali da file dannosi, adware e altre minacce.This software helps protect your virtual machines from malicious files, adware, and other threats.

Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione in tempo reale che aiuta a identificare e rimuovere virus, spyware e altro software dannoso.Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a real-time protection capability that helps identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware per Azure offre avvisi configurabili quando software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.Microsoft Antimalware for Azure provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems.

Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant,Microsoft Antimalware for Azure is a single-agent solution for applications and tenant environments. progettata per l'esecuzione in background senza intervento da parte dell'utente.It's designed to run in the background without human intervention. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring.

Quando si distribuisce e si abilita Microsoft Antimalware per Azure sono disponibili le funzionalità di base seguenti:When you deploy and enable Microsoft Antimalware for Azure, the following core features are available:

  • Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.Real-time protection: Monitors activity in Cloud Services and on Virtual Machines to detect and block malware execution.
  • Analisi pianificata: esegue periodicamente un'analisi mirata per rilevare il malware, inclusi i programmi in esecuzione attiva.Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.
  • Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.Malware remediation: Automatically takes action on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.
  • Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up-to-date on a pre-determined frequency.
  • Aggiornamenti del motore antimalware: aggiorna automaticamente il motore di Microsoft Antimalware per Azure.Antimalware engine updates: Automatically updates the Microsoft Antimalware for Azure engine.
  • Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma Microsoft Antimalware per Azure.Antimalware platform updates: Automatically updates the Microsoft Antimalware for Azure platform.
  • Protezione attiva: segnala ad Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapidaActive protection: Reports telemetry metadata to Azure about detected threats and suspicious resources to ensure rapid response. e abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).Enables real-time synchronous signature delivery through the Microsoft Active Protection System (MAPS).
  • Creazione di report di esempi: raccoglie e segnala al servizio Microsoft Antimalware per Azure esempi che consentono di perfezionare il servizio e di abilitare la risoluzione dei problemi.Samples reporting: Provides and reports samples to the Microsoft Antimalware for Azure service to help refine the service and enable troubleshooting.
  • Esclusioni: consente agli amministratori di applicazioni e del servizio di configurare alcuni file, processi e unità per escluderli dalla protezione e dall'analisi per motivi di prestazioni e/o di altro tipo.Exclusions: Allows application and service administrators to configure certain files, processes, and drives to exclude them from protection and scanning for performance and other reasons.
  • Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account di archiviazione di Azure dell'utente.Antimalware event collection: Records antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them in your Azure storage account.

Per altre informazioni sul software antimalware per la protezione delle macchine virtuali:Learn more about antimalware software to help protect your virtual machines:

Modulo di protezione hardwareHardware security module

Le protezioni con crittografia e autenticazione possono essere migliorate aumentando la sicurezza delle chiavi.Improving key security can enhance encryption and authentication protections. È possibile semplificare la gestione e la sicurezza di chiavi e segreti critici archiviandoli nell'insieme di credenziali delle chiavi di Azure.You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault.

L'insieme di credenziali delle chiavi consente di archiviare le chiavi in moduli di protezione hardware certificati per gli standard FIPS 140-2 livello 2.Key Vault provides the option to store your keys in hardware security modules (HSMs) certified to FIPS 140-2 Level 2 standards. Le chiavi di crittografia di SQL Server per backup o Transparent Data Encryption possono essere tutte archiviate nell'insieme di credenziali delle chiavi con qualsiasi chiave o segreto delle applicazioni.Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. Le autorizzazioni e l'accesso per questi elementi protetti vengono gestiti tramite Azure Active Directory.Permissions and access to these protected items are managed through Azure Active Directory.

Altre informazioni:Learn more:

Crittografia dischi delle macchine virtualiVirtual machine disk encryption

Crittografia dischi di Azure è una nuova funzionalità che consente di crittografare i dischi delle macchine virtuali Windows e Linux.Azure Disk Encryption is a new capability for encrypting your Windows and Linux virtual machine disks. Crittografia dischi di Azure usa la funzionalità standard di settore BitLocker di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia del volume per i dischi dati e il sistema operativo.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the dm-crypt feature of Linux to provide volume encryption for the OS and the data disks.

La soluzione è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi di crittografia dei dischi e i segreti nella sottoscrizione dell'insieme di credenziali delle chiavi.The solution is integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets in your key vault subscription. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.It ensures that all data in the virtual machine disks are encrypted at rest in Azure Storage.

Altre informazioni:Learn more:

Backup di una macchina virtualeVirtual machine backup

Backup di Azure è una soluzione scalabile che consente di proteggere i dati delle applicazioni senza investimenti di capitale e con costi operativi minimi.Azure Backup is a scalable solution that helps protect your application data with zero capital investment and minimal operating costs. Gli errori delle applicazioni possono danneggiare i dati e gli errori umani possono comportare l'introduzione di bug nelle applicazioni.Application errors can corrupt your data, and human errors can introduce bugs into your applications. Con Backup di Azure, le macchine virtuali che eseguono Windows e Linux sono protette.With Azure Backup, your virtual machines running Windows and Linux are protected.

Altre informazioni:Learn more:

Azure Site RecoveryAzure Site Recovery

Una parte importante della strategia BCDR dell'organizzazione è capire come mantenere in esecuzione le app e i carichi di lavoro aziendali quando si verificano interruzioni pianificate e non pianificate.An important part of your organization's BCDR strategy is figuring out how to keep corporate workloads and apps running when planned and unplanned outages occur. Azure Site Recovery consente di orchestrare la replica, il failover e il ripristino di carichi di lavoro e app in modo che siano disponibili da una posizione secondaria in caso di inattività di quella primaria.Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they're available from a secondary location if your primary location goes down.

Site Recovery:Site Recovery:

  • Semplifica la strategia BCDR: Site Recovery consente di gestire la replica, il failover e il ripristino di più carichi di lavoro e app aziendali da un'unica posizione.Simplifies your BCDR strategy: Site Recovery makes it easy to handle replication, failover, and recovery of multiple business workloads and apps from a single location. Site Recovery orchestra la replica e il failover, ma non intercetta i dati dell'applicazione né raccoglie le relative informazioni.Site Recovery orchestrates replication and failover but doesn't intercept your application data or have any information about it.
  • Offre una modalità di replica flessibile: con Site Recovery è possibile replicare i carichi di lavoro in esecuzione in macchine virtuali Hyper-V, macchine virtuali VMware e server fisici Windows o Linux.Provides flexible replication: By using Site Recovery, you can replicate workloads running on Hyper-V virtual machines, VMware virtual machines, and Windows/Linux physical servers.
  • Supporta failover e ripristino: Site Recovery consente il failover di test per supportare analisi del ripristino di emergenza senza interessare gli ambienti di produzione.Supports failover and recovery: Site Recovery provides test failovers to support disaster recovery drills without affecting production environments. È anche possibile eseguire failover pianificati senza perdita di dati per interruzioni previste o il failover non pianificato con perdita di dati minima, in base alla frequenza di replica, per emergenze impreviste.You can also run planned failovers with a zero-data loss for expected outages, or unplanned failovers with minimal data loss (depending on replication frequency) for unexpected disasters. Dopo il failover è possibile eseguire il failback nei siti primari.After failover, you can fail back to your primary sites. Site Recovery fornisce i piani di ripristino che possono includere script e cartelle di lavoro di automazione di Azure per personalizzare il failover e il ripristino di applicazioni multilivello.Site Recovery provides recovery plans that can include scripts and Azure automation workbooks so that you can customize failover and recovery of multi-tier applications.
  • Elimina i data center secondari: è possibile eseguire la replica in un sito secondario locale o in Azure.Eliminates secondary datacenters: You can replicate to a secondary on-premises site, or to Azure. L'uso di Azure come destinazione per il ripristino di emergenza elimina i costi e la complessità correlati alla gestione di un sito secondario.Using Azure as a destination for disaster recovery eliminates the cost and complexity of maintaining a secondary site. I dati replicati vengono archiviati nell'archiviazione di Azure.Replicated data is stored in Azure Storage.
  • Si integra con le tecnologie BCDR esistenti: Site Recovery interagisce con altre funzionalità BCDR dell'applicazione.Integrates with existing BCDR technologies: Site Recovery partners with other applications' BCDR features. È ad esempio possibile usare Site Recovery per proteggere il back-end SQL Server dei carichi di lavoro aziendali.For example, you can use Site Recovery to help protect the SQL Server back end of corporate workloads. È incluso il supporto nativo per SQL Server AlwaysOn, per la gestione del failover dei gruppi di disponibilità.This includes native support for SQL Server Always On to manage the failover of availability groups.

Altre informazioni:Learn more:

Reti virtualiVirtual networking

La connettività di rete è indispensabile per le macchine virtuali.Virtual machines need network connectivity. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure.To support that requirement, Azure requires virtual machines to be connected to an Azure virtual network.

Una rete virtuale di Azure è un costrutto logico basato sull'infrastruttura di rete fisica di Azure.An Azure virtual network is a logical construct built on top of the physical Azure network fabric. Ogni rete virtuale di Azure logica è isolata da tutte le altre reti virtuali di Azure.Each logical Azure virtual network is isolated from all other Azure virtual networks. L'isolamento garantisce che il traffico di rete nelle distribuzioni di un utente non sia accessibile da altri clienti di Microsoft Azure.This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

Altre informazioni:Learn more:

Gestione e reporting dei criteri di sicurezzaSecurity policy management and reporting

Il Centro sicurezza di Azure consente di prevenire, rilevare e gestire le minacce.Azure Security Center helps you prevent, detect, and respond to threats. Il Centro sicurezza offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure.Security Center gives you increased visibility into, and control over, the security of your Azure resources. Integra il monitoraggio della sicurezza e la gestione dei criteri in tutte le sottoscrizioni di Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. Aiuta a rilevare le minacce che potrebbero altrimenti passare inosservate e opera con un ampio ecosistema di soluzioni per la sicurezza.It helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza consente di ottimizzare e monitorare la sicurezza delle macchine virtuali:Security Center helps you optimize and monitor the security of your virtual machines by:

  • Fornendo consigli sulla sicurezza per le macchine virtuali.Providing security recommendations for the virtual machines. I suggerimenti di esempio includono: applicare gli aggiornamenti del sistema, configurare gli endpoint ACL, abilitare antimalware, abilitare i gruppi di sicurezza di rete e applicare la crittografia del disco.Example recommendations include: apply system updates, configure ACLs endpoints, enable antimalware, enable network security groups, and apply disk encryption.
  • Monitorando lo stato delle macchine virtuali.Monitoring the state of your virtual machines.

Altre informazioni:Learn more:

ConformitàCompliance

Macchine virtuali di Azure ha ottenuto le certificazioni per FISMA, FedRAMP, HIPAA, PCI DSS Livello 1 e altri importanti programmi di conformità.Azure Virtual Machines is certified for FISMA, FedRAMP, HIPAA, PCI DSS Level 1, and other key compliance programs. La certificazione consente alle applicazioni di Azure di soddisfare i requisiti di conformità e all'azienda di rispondere a un'ampia gamma di requisiti normativi locali e internazionali.This certification makes it easier for your own Azure applications to meet compliance requirements and for your business to address a wide range of domestic and international regulatory requirements.

Altre informazioni:Learn more: