Informazioni generali sulla sicurezza di Macchine virtuali di AzureAzure Virtual Machines security overview

Macchine virtuali di Azure consente di distribuire in modo flessibile un'ampia gamma di soluzioni di elaborazione.Azure Virtual Machines lets you deploy a wide range of computing solutions in an agile way. Grazie al supporto per Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Servizi BizTalk di Azure, è possibile distribuire qualsiasi carico di lavoro, in qualunque linguaggio, praticamente su tutti i sistemi operativi.With support for Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP, and Azure BizTalk Services, you can deploy any workload and any language on nearly any operating system.

Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza dover acquistare e gestire l'hardware fisico su cui è in esecuzione la macchina virtuale.An Azure virtual machine gives you the flexibility of virtualization without having to buy and maintain the physical hardware that runs the virtual machine. È possibile creare e distribuire le applicazioni con la certezza che i dati saranno protetti e al sicuro nei nostri data center che offrono livelli di sicurezza elevati.You can build and deploy your applications with the assurance that your data is protected and safe in our highly secure datacenters.

Con Azure è possibile creare soluzioni conformi con sicurezza avanzata che:With Azure, you can build security-enhanced, compliant solutions that:

  • Proteggono le macchine virtuali da virus e malwareProtect your virtual machines from viruses and malware
  • Applicano la crittografia ai dati sensibiliEncrypt your sensitive data
  • Proteggono il traffico di reteSecure network traffic
  • Identificano e rilevano minacceIdentify and detect threats
  • Soddisfano i requisiti di conformitàMeet compliance requirements

L'obiettivo di questo articolo è offrire informazioni generali sulle principali funzionalità di sicurezza di Azure per le macchine virtuali.The goal of this article is to provide an overview of the core Azure security features that can be used with virtual machines. Sono anche disponibili collegamenti ad articoli con informazioni dettagliate su ogni funzionalità.We also provide links to articles that give details of each feature so you can learn more.

L'articolo descrive queste funzionalità di sicurezza principali di Macchine virtuali di Azure:The core Azure Virtual Machine security capabilities to be covered in this article:

  • AntimalwareAntimalware
  • Modulo di protezione hardwareHardware Security Module
  • Crittografia dischi delle macchine virtualiVirtual machine disk encryption
  • Backup di una macchina virtualeVirtual machine backup
  • Azure Site RecoveryAzure Site Recovery
  • Reti virtualiVirtual networking
  • Gestione e reporting dei criteri di sicurezzaSecurity policy management and reporting
  • ConformitàCompliance

AntimalwareAntimalware

Con Azure è possibile usare software antimalware di fornitori di soluzioni di sicurezza, come Microsoft, Symantec, Trend Micro e Kaspersky, per proteggere le macchine virtuali da file dannosi, adware e altre minacce.With Azure, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, and Kaspersky to protect your virtual machines from malicious files, adware, and other threats. Vedere la sezione Altre informazioni di seguito per gli articoli sulle soluzioni dei partner.See the Learn More section below to find articles on partner solutions.

Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione in tempo reale che aiuta a identificare e rimuovere virus, spyware e altro software dannoso.Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a real-time protection capability that helps identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware offre avvisi configurabili quando software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.Microsoft Antimalware provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems.

Microsoft Antimalware è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente.Microsoft Antimalware is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring.

Quando si distribuisce e si abilita Microsoft Antimalware sono disponibili le funzionalità di base seguenti:When you deploy and enable Microsoft Antimalware, the following core features are available:

  • Protezione in tempo reale: monitora l'attività nei servizi cloud e nelle macchine virtuali per rilevare e bloccare l'esecuzione di malware.Real-time protection - monitors activity in Cloud Services and on Virtual Machines to detect and block malware execution.
  • Analisi pianificata: esegue periodicamente un'analisi mirata per rilevare il malware, inclusi i programmi in esecuzione attiva.Scheduled scanning - periodically performs targeted scanning to detect malware, including actively running programs.
  • Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.Malware remediation - automatically takes action on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.
  • Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.Signature updates - automatically installs the latest protection signatures (virus definitions) to ensure protection is up-to-date on a pre-determined frequency.
  • Aggiornamenti di Antimalware Engine: aggiorna automaticamente Microsoft Antimalware Engine.Antimalware Engine updates – automatically updates the Microsoft Antimalware engine.
  • Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma Microsoft Antimalware.Antimalware Platform updates – automatically updates the Microsoft Antimalware platform.
  • Protezione attiva: segnala ad Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapida e abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).Active protection - reports to Azure telemetry metadata about detected threats and suspicious resources to ensure rapid response and enables real-time synchronous signature delivery through the Microsoft Active Protection System (MAPS).
  • Creazione di report di esempi: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e di abilitare la risoluzione dei problemi.Samples reporting - provides and reports samples to the Microsoft Antimalware service to help refine the service and enable troubleshooting.
  • Esclusioni: consente agli amministratori di applicazioni e del servizio di configurare alcuni file, processi e unità per escluderli dalla protezione e dall'analisi per motivi di prestazioni e/o di altro tipo.Exclusions – allows application and service administrators to configure certain files, processes, and drives to exclude them from protection and scanning for performance and other reasons.
  • Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account di archiviazione di Azure del cliente.Antimalware event collection - records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure Storage account.

Altre informazioni: per altre informazioni sul software antimalware per la protezione delle macchine virtuali, vedere le risorse seguenti.Learn more: To learn more about antimalware software to protect your virtual machines, see:

Modulo di protezione hardwareHardware security Module

Le protezioni con crittografia e autenticazione possono essere migliorate aumentando la sicurezza delle chiavi.Encryption and authentication protections can be enhanced by improving key security. È possibile semplificare la gestione e la sicurezza di chiavi e segreti critici archiviandoli nell'insieme di credenziali delle chiavi di Azure.You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault. L'insieme di credenziali delle chiavi consente di archiviare le chiavi in moduli di protezione hardware certificati per gli standard FIPS 140-2 livello 2.Key Vault provides the option to store your keys in hardware security modules (HSMs) certified to FIPS 140-2 Level 2 standards. Le chiavi di crittografia di SQL Server per backup o Transparent Data Encryption possono essere tutte archiviate nell'insieme di credenziali delle chiavi con qualsiasi chiave o segreto delle applicazioni.Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. Le autorizzazioni e l'accesso per questi elementi protetti vengono gestiti tramite Azure Active Directory.Permissions and access to these protected items are managed through Azure Active Directory.

Altre informazioni:Learn more:

Crittografia dischi delle macchine virtualiVirtual machine disk encryption

Crittografia dischi di Azure è una nuova funzionalità che consente di crittografare i dischi delle macchine virtuali di Azure in Windows e Linux.Azure Disk Encryption is a new capability that lets you encrypt your Windows and Linux Azure Virtual Machine disks. Crittografia dischi di Azure usa la funzionalità standard di settore BitLocker di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia del volume per i dischi dati e del sistema operativo.Azure Disk Encryption uses the industry standard BitLocker feature of Windows and the dm-crypt feature of Linux to provide volume encryption for the OS and the data disks.

La soluzione è integrata con l'insieme di credenziali delle chiavi di Azure per facilitare il controllo e la gestione dei segreti e delle chiavi di crittografa del disco nella sottoscrizione dell'insieme di credenziali delle chiavi, assicurando allo stesso tempo che tutti i dati inattivi sui dischi delle macchine virtuali siano crittografati nell'archiviazione di Azure.The solution is integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets in your key vault subscription, while ensuring that all data in the virtual machine disks are encrypted at rest in your Azure storage.

Altre informazioni:Learn more:

Backup di una macchina virtualeVirtual machine backup

Backup di Azure è una soluzione scalabile che protegge i dati delle applicazioni senza investimenti di capitale e con costi operativi minimi.Azure Backup is a scalable solution that protects your application data with zero capital investment and minimal operating costs. Gli errori delle applicazioni possono danneggiare i dati e gli errori umani possono comportare l'introduzione di bug nelle applicazioni.Application errors can corrupt your data, and human errors can introduce bugs into your applications. Con Backup di Azure, le macchine virtuali che eseguono Windows e Linux sono protette.With Azure Backup, your virtual machines running Windows and Linux are protected.

Altre informazioni:Learn more:

Azure Site RecoveryAzure Site Recovery

Una parte importante della strategia BCDR dell'organizzazione è capire come mantenere in esecuzione le app e i carichi di lavoro aziendali quando si verificano interruzioni pianificate e non pianificate.An important part of your organization's BCDR strategy is figuring out how to keep corporate workloads and apps up and running when planned and unplanned outages occur. Azure Site Recovery consente di orchestrare la replica, il failover e il ripristino di carichi di lavoro e app in modo che siano disponibili da una località secondaria in caso di inattività di quella primaria.Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they are available from a secondary location if your primary location goes down.

Site Recovery:Site Recovery:

  • Semplifica la strategia BCDR : Site Recovery consente di gestire la replica, il failover e il ripristino di più carichi di lavoro e app aziendali da un'unica posizione.Simplifies your BCDR strategy — Site Recovery makes it easy to handle replication, failover, and recovery of multiple business workloads and apps from a single location. Site Recovery orchestra la replica e il failover, ma non intercetta i dati dell'applicazione né raccoglie le relative informazioni.Site recovery orchestrates replication and failover but doesn't intercept your application data or have any information about it.
  • Offre una modalità di replica flessibile : con Site Recovery è possibile replicare i carichi di lavoro in esecuzione in macchine virtuali Hyper-V, macchine virtuali VMware e server fisici Windows o Linux.Provides flexible replication — Using Site Recovery you can replicate workloads running on Hyper-V virtual machines, VMware virtual machines, and Windows/Linux physical servers.
  • Supporta failover e ripristino : Site Recovery consente il failover di test per supportare analisi del ripristino di emergenza senza interessare gli ambienti di produzione.Supports failover and recovery — Site Recovery provides test failovers to support disaster recovery drills without affecting production environments. È anche possibile eseguire failover pianificati senza perdita di dati per interruzioni previste o il failover non pianificato con perdita di dati minima, in base alla frequenza di replica, per emergenze impreviste.You can also run planned failovers with a zero-data loss for expected outages, or unplanned failovers with minimal data loss (depending on replication frequency) for unexpected disasters. Dopo il failover è possibile eseguire il failback nei siti primari.After failover, you can failback to your primary sites. Site Recovery fornisce i piani di ripristino che possono includere script e cartelle di lavoro di automazione di Azure per personalizzare il failover e il ripristino di applicazioni multilivello.Site Recovery provides recovery plans that can include scripts and Azure automation workbooks so that you can customize failover and recovery of multi-tier applications.
  • Elimina il data center secondario : è possibile eseguire la replica in un sito secondario locale o in Azure.Eliminates secondary datacenter — You can replicate to a secondary on-premises site, or to Azure. L'uso di Azure come destinazione per il ripristino di emergenza elimina i costi e la complessità correlati alla gestione di un sito secondario.Using Azure as a destination for disaster recovery eliminates the cost and complexity of maintaining a secondary site. I dati replicati vengono archiviati nell'archiviazione di Azure.Replicated data is stored in Azure Storage.
  • Si integra con le tecnologie BCDR esistenti : Site Recovery interagisce con altre funzionalità BCDR dell'applicazione.Integrates with existing BCDR technologies — Site Recovery partners with other application BCDR features. È ad esempio possibile usare Site Recovery per proteggere il back-end SQL Server dei carichi di lavoro aziendali.For example, you can use Site Recovery to protect the SQL Server back end of corporate workloads. È incluso il supporto nativo per SQL Server AlwaysOn, per la gestione del failover dei gruppi di disponibilità.This includes native support for SQL Server AlwaysOn to manage the failover of availability groups.

Altre informazioni:Learn more:

Reti virtualiVirtual networking

La connettività di rete è indispensabile per le macchine virtuali.Virtual machines need network connectivity. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure.To support that requirement, Azure requires virtual machines to be connected to an Azure Virtual Network. Una rete virtuale di Azure è un costrutto logico basato sull'infrastruttura di rete fisica di Azure.An Azure Virtual Network is a logical construct built on top of the physical Azure network fabric. Ogni rete virtuale di Azure logica è isolata da tutte le altre reti virtuali di Azure.Each logical Azure Virtual Network is isolated from all other Azure Virtual Networks. L'isolamento garantisce che il traffico di rete nelle distribuzioni di un utente non sia accessibile da altri clienti di Microsoft Azure.This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

Altre informazioni:Learn more:

Gestione e reporting dei criteri di sicurezzaSecurity policy management and reporting

Il Centro sicurezza di Azure aiuta a impedire, rilevare e rispondere alle minacce offrendo visibilità e controllo avanzati della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza di Azure consente di ottimizzare e monitorare la sicurezza delle macchine virtuali offrendo:Azure Security Center helps you optimize and monitor virtual machine security by:

  • Consigli sulla sicurezza per le macchine virtuali, ad esempio come applicare gli aggiornamenti del sistema, configurare gli endpoint ACL, abilitare antimalware, abilitare i gruppi di sicurezza di rete e applicare la crittografia del disco.Providing virtual machine security recommendations such as apply system updates, configure ACLs endpoints, enable antimalware, enable network security groups, and apply disk encryption.
  • Il monitoraggio dello stato delle macchine virtualiMonitoring the state of your virtual machines

Altre informazioni:Learn more:

ConformitàCompliance

Macchine virtuali di Azure ha ottenuto le certificazioni per FISMA, FedRAMP, HIPAA, PCI DSS Livello 1 e altri importanti programmi di conformità.Azure Virtual Machines is certified for FISMA, FedRAMP, HIPAA, PCI DSS Level 1, and other key compliance programs. La certificazione consente alle applicazioni di Azure di soddisfare i requisiti di conformità e all'azienda di rispondere a un'ampia gamma di requisiti normativi locali e internazionali.This certification makes it easier for your own Azure applications to meet compliance requirements and for your business to address a wide range of domestic and international regulatory requirements.

Altre informazioni:Learn more: