Creare una baseline per la rete

  • 5 minuti

I servizi di rete di Azure sono stati appositamente studiati per ottimizzare i livelli di flessibilità, disponibilità, resilienza, sicurezza e integrità. La connettività di rete è possibile tra le risorse residenti in Azure, tra le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.

Raccomandazioni per la sicurezza della rete di Azure

Le sezioni seguenti descrivono le raccomandazioni per le funzionalità di rete di Azure presenti in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.

Limitare l'accesso RDP e SSH da Internet - Livello 1

È possibile raggiungere le VM di Azure usando i protocolli Remote Desktop Protocol (RDP) e Secure Shell (SSH). Questi protocolli possono essere usati per gestire le VM da posizioni remote. I protocolli sono standard nel calcolo dei data center.

L'uso dei protocolli RDP e SSH in Internet può causare però un potenziale problema di sicurezza, in quanto consente agli utenti malintenzionati di usare tecniche di attacco di forza bruta per ottenere l'accesso alle macchine virtuali di Azure. Una volta ottenuto l'accesso, gli utenti malintenzionati potranno usare la VM come punto di partenza per compromettere gli altri computer nella rete virtuale o persino per attaccare i dispositivi di rete all'esterno di Azure.

È consigliabile disabilitare l'accesso diretto RDP e SSH da Internet per le VM di Azure. Eseguire questa procedura per ogni VM nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Macchine virtuali.

  2. Nel menu a sinistra, in Impostazioni, selezionare Rete.

  3. Nel riquadro Rete verificare che nella scheda Regole porta in ingresso non sia presente una regola per RDP, ad esempio: port=3389, protocol = TCP, Source = Any or Internet.

  4. Verificare che nella scheda Regole porta in ingresso non sia presente una regola per SSH, ad esempio: port=22, protocol = TCP, Source = Any or Internet.

Screenshot the VM networking pane.

Quando l'accesso diretto RDP e SSH da Internet è disabilitato, sono disponibili altre opzioni per accedere a queste VM per la gestione remota:

  • VPN da punto a sito
  • VPN da sito a sito
  • Azure ExpressRoute
  • Host Azure Bastion

Limitare l'accesso a SQL Server da Internet - Livello 1

I sistemi firewall consentono di impedire l'accesso non autorizzato alle risorse del computer. Se un firewall è attivato ma non è configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server tramite un firewall, è necessario configurare il firewall sul computer che esegue SQL Server. Consentire il traffico in ingresso per l'intervallo IP 0.0.0.0/0 (IP iniziale 0.0.0.0 e IP finale 0.0.0.0) significa consentire l'accesso aperto a tutto il traffico, cosa che rende il database SQL Server potenzialmente vulnerabile agli attacchi. Assicurarsi che nessun database SQL Server consenta il traffico in ingresso da Internet. Completare la procedura seguente per ogni istanza di SQL Server.

  1. Accedi al portale di Azure. Cercare e selezionare Server SQL.

  2. Nel riquadro dei menu, in Sicurezza, selezionare Rete.

  3. Nel riquadro Rete verificare che nella scheda Accesso pubblico sia presente una regola del firewall. Verificare che nessuna regola abbia un IP iniziale0.0.0.0 e un IP finale0.0.0.0 o altre combinazioni che consentano l'accesso a intervalli IP pubblici più ampi.

  4. Se si modificano impostazioni, selezionare Salva.

Screenshot that shows the Firewalls and virtual networks pane.

Abilitare Network Watcher - Livello 1

I log dei flussi del gruppo di sicurezza di rete (NSG) sono una funzionalità di Azure Network Watcher che offre informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete. I log dei flussi sono scritti in formato JSON e mostrano:

  • Flussi in ingresso e in uscita in base a ciascuna regola.
  • L'interfaccia di rete a cui si applica il flusso.
  • Informazioni a 5 tuple sul flusso: indirizzi IP di origine e di destinazione, porte di origine e destinazione e protocollo usato.
  • Indica se il traffico è stato consentito o negato.
  • Nella versione 2, informazioni sulla velocità effettiva, ad esempio byte e pacchetti.

  1. Accedi al portale di Azure. Cercare e selezionare Network Watcher.

  2. Selezionare Network Watcher per la sottoscrizione e la località.

  3. Se per la sottoscrizione non esiste alcun log dei flussi del gruppo di sicurezza di rete, crearne uno.

Impostare un periodo di conservazione dei log dei flussi del gruppo di sicurezza di rete superiore a 90 giorni - Livello 2

Quando si crea o si aggiorna una rete virtuale nella sottoscrizione, Network Watcher viene abilitato automaticamente nell'area della rete virtuale. Le risorse non sono interessate dall'abilitazione automatica di Network Watcher e non viene valutato alcun addebito.

È possibile usare i log dei flussi del gruppo di sicurezza di rete per verificare le anomalie e ottenere informazioni dettagliate sulle sospette violazioni.

  1. Accedi al portale di Azure. Cercare e selezionare Network Watcher.

  2. Nel menu a sinistra, in Log selezionare Log dei flussi del gruppo di sicurezza di rete.

    Screenshot that shows the N S G flow log pane.

  3. Selezionare un log dei flussi del gruppo di sicurezza di rete.

  4. Verificare che il valore di Conservazione (giorni) sia maggiore di 90 giorni.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.