Monitorare la sicurezza delle macchine virtuali con il Centro sicurezza di AzureMonitor virtual machine security by using Azure Security Center

Il Centro sicurezza di Azure consente di ottenere visibilità nelle procedure per la sicurezza delle risorse di Azure.Azure Security Center can help you gain visibility into your Azure resource security practices. Il Centro sicurezza offre il monitoraggio della sicurezza integrato.Security Center offers integrated security monitoring. Consente di rilevare minacce che altrimenti non verrebbero rilevate.It can detect threats that otherwise might go unnoticed. Questa esercitazione illustra il Centro sicurezza di Azure e come:In this tutorial, you learn about Azure Security Center, and how to:

  • configurare la raccolta dei datiSet up data collection
  • configurare i criteri di sicurezzaSet up security policies
  • visualizzare e risolvere i problemi di integrità della configurazioneView and fix configuration health issues
  • esaminare le minacce rilevateReview detected threats

Panoramica del Centro sicurezza di AzureSecurity Center overview

Il Centro sicurezza aiuta a identificare i potenziali problemi di configurazione e le minacce specifiche alla sicurezza delle macchina virtuale.Security Center identifies potential virtual machine (VM) configuration issues and targeted security threats. Questi possono includere macchine virtuali mancanti dei gruppi di sicurezza di rete, dischi non crittografati e attacchi di forza bruta Remote Desktop Protocol (RDP).These might include VMs that are missing network security groups, unencrypted disks, and brute-force Remote Desktop Protocol (RDP) attacks. Queste informazioni vengono mostrate nel dashboard del Centro sicurezza sotto forma di grafici di facile lettura.The information is shown on the Security Center dashboard in easy-to-read graphs.

Per accedere al dashboard del Centro sicurezza, nel portale di Azure selezionare nel menu Centro sicurezza.To access the Security Center dashboard, in the Azure portal, on the menu, select Security Center. Nel dashboard è possibile visualizzare l'integrità della sicurezza dell'ambiente Azure, accedere a una serie di raccomandazioni valide e visualizzare lo stato corrente degli avvisi di minaccia.On the dashboard, you can see the security health of your Azure environment, find a count of current recommendations, and view the current state of threat alerts. È possibile espandere ogni grafico di alto livello per visualizzare altri dettagli.You can expand each high-level chart to see more detail.

Dashboard del Centro sicurezza

Il Centro sicurezza va oltre l'individuazione dei dati per offrire raccomandazioni sui problemi rilevati.Security Center goes beyond data discovery to provide recommendations for issues that it detects. Ad esempio, se una macchina virtuale è stata distribuita senza un gruppo di sicurezza di rete collegato, il Centro sicurezza consente di visualizzare una raccomandazione, con una procedura di correzione da eseguire.For example, if a VM was deployed without an attached network security group, Security Center displays a recommendation, with remediation steps you can take. Offre la correzione automatica senza lasciare il contesto del Centro sicurezza.You get automated remediation without leaving the context of Security Center.

Consigli

Configurare la raccolta dei datiSet up data collection

Per ottenere la visibilità sulle configurazioni di sicurezza delle macchine virtuali, è necessario prima configurare la raccolta dei dati nel Centro sicurezza.Before you can get visibility into VM security configurations, you need to set up Security Center data collection. Ciò comporta l'abilitazione della raccolta dei dati e la creazione di un account di archiviazione di Azure per contenere i dati raccolti.This involves turning on data collection and creating an Azure storage account to hold collected data.

  1. Nel dashboard del Centro sicurezza fare clic su Criteri di sicurezza e selezionare la sottoscrizione in uso.On the Security Center dashboard, click Security policy, and then select your subscription.
  2. Per Raccolta di dati selezionare On (Abilitata).For Data collection, select On.
  3. Per creare un account di archiviazione, selezionare Scegliere un account di archiviazione.To create a storage account, select Choose a storage account. Quindi selezionare OK.Then, select OK.
  4. Nel pannello Criteri di sicurezza selezionare Salva.On the Security Policy blade, select Save.

L'agente di raccolta dati del Centro sicurezza viene quindi installato in tutte le macchine virtuali e la raccolta dei dati ha inizio.The Security Center data collection agent is then installed on all VMs, and data collection begins.

Configurare un criterio di sicurezzaSet up a security policy

I criteri di sicurezza vengono usati per definire gli elementi per cui il Centro sicurezza raccoglie i dati e genera raccomandazioni.Security policies are used to define the items for which Security Center collects data and makes recommendations. È possibile applicare criteri di sicurezza diversi per set di risorse di Azure diversi.You can apply different security policies to different sets of Azure resources. Sebbene per impostazione predefinita le risorse di Azure vengono valutate per tutti gli elementi dei criteri, è possibile disattivare gli elementi di criteri individuali per tutte le risorse di Azure o per un gruppo di risorse.Although by default Azure resources are evaluated against all policy items, you can turn off individual policy items for all Azure resources or for a resource group. Per informazioni approfondite sui criteri di sicurezza del Centro sicurezza, vedere Impostare i criteri di sicurezza nel Centro sicurezza di Azure.For in-depth information about Security Center security policies, see Set security policies in Azure Security Center.

Per configurare i criteri di sicurezza per tutte le risorse di Azure:To set up a security policy for all Azure resources:

  1. Nel dashboard del Centro sicurezza selezionare Criteri di sicurezza e quindi la sottoscrizione in uso.On the Security Center dashboard, select Security policy, and then select your subscription.
  2. Selezionare Prevention policy (Criteri di protezione).Select Prevention policy.
  3. Attivare o disattivare gli elementi dei criteri che si desidera applicare a tutte le risorse di Azure.Turn on or turn off policy items that you want to apply to all Azure resources.
  4. Al termine della selezione delle impostazioni, selezionare OK.When you're finished selecting your settings, select OK.
  5. Nel pannello Criteri di sicurezza selezionare Salva.On the Security policy blade, select Save.

Per configurare un criterio per un gruppo di risorse specifico:To set up a policy for a specific resource group:

  1. Nel dashboard del Centro sicurezza selezionare Criteri di sicurezza e quindi un gruppo di risorse.On the Security Center dashboard, select Security policy, and then select a resource group.
  2. Selezionare Prevention policy (Criteri di protezione).Select Prevention policy.
  3. Attivare o disattivare gli elementi dei criteri che si desidera applicare al gruppo di risorse.Turn on or turn off policy items that you want to apply to the resource group.
  4. In EREDITARIETÀ selezionare Univoco.Under INHERITANCE, select Unique.
  5. Al termine della selezione delle impostazioni, selezionare OK.When you're finished selecting your settings, select OK.
  6. Nel pannello Criteri di sicurezza selezionare Salva.On the Security policy blade, select Save.

È anche possibile disattivare la raccolta dei dati per un gruppo di risorse specifico in questa pagina.You also can turn off data collection for a specific resource group on this page.

Nell'esempio seguente sono stati creati criteri univoci per un gruppo di risorse denominato myResoureGroup.In the following example, a unique policy has been created for a resource group named myResoureGroup. In questi criteri sono state disabilitate le raccomandazioni relative alla crittografia del disco e al firewall dell'applicazione Web.In this policy, disk encryption and web application firewall recommendations are turned off.

Criteri univoci

Visualizzare lo stato della configurazione delle VMView VM configuration health

Dopo aver attivato la raccolta dei dati e impostato un criterio di sicurezza, il Centro sicurezza inizia a generare avvisi e raccomandazioni.After you've turned on data collection and set a security policy, Security Center begins to provide alerts and recommendations. Man mano che le macchine virtuali vengono distribuite, viene installato l'agente di raccolta dati.As VMs are deployed, the data collection agent is installed. Il Centro sicurezza viene quindi popolato con i dati per le nuove macchine virtuali.Security Center is then populated with data for the new VMs. Per informazioni dettagliate sullo stato di configurazione delle macchine virtuali, vedere Protezione delle macchine virtuali nel Centro sicurezza di Azure.For in-depth information about VM configuration health, see Protect your VMs in Security Center.

Man mano che i dati vengono raccolti, i dati relativi all'integrità delle risorse di ogni macchina virtuale e delle risorse di Azure correlate vengono aggregati.As data is collected, the resource health for each VM and related Azure resource is aggregated. Le informazioni vengono mostrate in un grafico di facile lettura.The information is shown in an easy-to-read chart.

Per visualizzare l'integrità risorse:To view resource health:

  1. Nel dashboard del Centro sicurezza, in Integrità della sicurezza delle risorse selezionare Calcolo.On the Security Center dashboard, under Resource security health, select Compute.
  2. Nel pannello Calcolo selezionare Macchine virtuali.On the Compute blade, select Virtual machines. Questa visualizzazione riepiloga lo stato della configurazione di tutte le macchine virtuali.This view provides a summary of the configuration status for all your VMs.

Stato del calcolo

Per visualizzare tutte le raccomandazioni per una macchina virtuale, selezionare la macchina virtuale.To see all recommendations for a VM, select the VM. Le raccomandazioni e le correzioni sono descritte più dettagliatamente nella sezione successiva di questa esercitazione.Recommendations and remediation are covered in more detail in the next section of this tutorial.

Risolvere i problemi di configurazioneRemediate configuration issues

Quando il Centro sicurezza inizia a popolarsi con i dati di configurazione, le raccomandazioni vengono generate in base ai criteri di sicurezza configurati.After Security Center begins to populate with configuration data, recommendations are made based on the security policy you set up. Se ad esempio è stata configurata una macchina virtuale senza un gruppo di sicurezza di rete associato, viene generata una raccomandazione per crearne uno.For instance, if a VM was set up without an associated network security group, a recommendation is made to create one.

Per visualizzare un elenco di tutte le raccomandazioni:To see a list of all recommendations:

  1. Nel dashboard del Centro sicurezza selezionare Raccomandazioni.On the Security Center dashboard, select Recommendations.
  2. Selezionare una raccomandazione specifica.Select a specific recommendation. Viene visualizzato un elenco di tutte le risorse per cui si applica la raccomandazione.A list of all resources for which the recommendation applies appears.
  3. Per applicare una raccomandazione, selezionare una risorsa specifica.To apply a recommendation, select a specific resource.
  4. Seguire le istruzioni per la procedura di correzione.Follow the instructions for remediation steps.

Il Centro sicurezza offre in molti casi le procedure pratiche per applicare una raccomandazione senza uscire dal Centro sicurezza.In many cases, Security Center provides actionable steps you can take to address a recommendation without leaving Security Center. Nell'esempio seguente il Centro sicurezza rileva un gruppo di sicurezza di rete che dispone di una regola in entrata senza restrizioni.In the following example, Security Center detects a network security group that has an unrestricted inbound rule. Nella pagina di raccomandazione è possibile selezionare il pulsante Modifica le regole in ingresso.On the recommendation page, you can select the Edit inbound rules button. Viene visualizzata l'interfaccia utente necessaria per modificare la regola.The UI that is needed to modify the rule appears.

Consigli

Le raccomandazioni risolte vengono contrassegnate come tali.As recommendations are remediated, they are marked as resolved.

Visualizzare le minacce rilevateView detected threats

Oltre alle raccomandazioni per la configurazione delle risorse, il Centro sicurezza mostra avvisi di rilevamento di minacce.In addition to resource configuration recommendations, Security Center displays threat detection alerts. La funzionalità di avviso di sicurezza aggrega i dati raccolti da ogni macchina virtuale, dai log di rete di Azure e dalle soluzioni partner collegate per rilevare le minacce alla sicurezza per le risorse di Azure.The security alerts feature aggregates data collected from each VM, Azure networking logs, and connected partner solutions to detect security threats against Azure resources. Per informazioni dettagliate sulle funzionalità di rilevamento delle minacce nel Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.For in-depth information about Security Center threat detection capabilities, see Azure Security Center detection capabilities.

Per accedere alla funzionalità degli avvisi di sicurezza, è necessario aumentare il piano tariffario del Centro sicurezza da Gratuito a Standard.The security alerts feature requires the Security Center pricing tier to be increased from Free to Standard. Quando si passa a questo piano tariffario superiore, è disponibile una versione di prova gratuita di 30 giorni.A 30-day free trial is available when you move to this higher pricing tier.

Per modificare il piano tariffario:To change the pricing tier:

  1. Nel dashboard del Centro sicurezza fare clic su Criteri di sicurezza e selezionare la sottoscrizione in uso.On the Security Center dashboard, click Security policy, and then select your subscription.
  2. Selezionare Piano tariffario.Select Pricing tier.
  3. Selezionare il nuovo piano e quindi Seleziona.Select the new tier, and then select Select.
  4. Nel pannello Criteri di sicurezza selezionare Salva.On the Security policy blade, select Save.

Dopo che il piano tariffario è stato modificato, il grafico degli avvisi di sicurezza inizia a popolarsi man mano che vengono rilevate minacce alla sicurezza.After you've changed the pricing tier, the security alerts graph begins to populate as security threats are detected.

Avvisi di sicurezza

Selezionare un avviso per visualizzare le informazioni.Select an alert to view information. Ad esempio, è possibile visualizzare una descrizione della minaccia, il tempo di rilevamento, tutti i tentativi di minaccia e la correzione consigliata.For example, you can see a description of the threat, the detection time, all threat attempts, and the recommended remediation. Nell'esempio seguente è stato rilevato un attacco di forza bruta RDP, con 294 tentativi RDP non riusciti.In the following example, an RDP brute-force attack was detected, with 294 failed RDP attempts. Viene indicata una risoluzione consigliata.A recommended resolution is provided.

Attacco RDP

Passaggi successiviNext steps

In questa esercitazione viene configurato il Centro sicurezza di Azure e vengono quindi esaminate le macchine virtuali nel Centro sicurezza.In this tutorial, you set up Azure Security Center, and then reviewed VMs in Security Center. Si è appreso come:You learned how to:

  • configurare la raccolta dei datiSet up data collection
  • configurare i criteri di sicurezzaSet up security policies
  • visualizzare e risolvere i problemi di integrità della configurazioneView and fix configuration health issues
  • Esaminare le minacce rilevateReview detected threats

Passare all'esercitazione successiva per altre informazioni sulla creazione di una pipeline CI/CD con Jenkins, GitHub e Docker.Advance to the next tutorial to learn more about creating a CI/CD pipeline with Jenkins, GitHub, and Docker.