Procedure consigliate per la sicurezza dei carichi di lavoro IaaS in Azure

Questo articolo descrive le procedure consigliate per la sicurezza delle macchine virtuali e dei sistemi operativi.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Poiché le opinioni e le tecnologie possono cambiare nel tempo, questo articolo verrà aggiornato regolarmente per riflettere tali variazioni.

Nella maggior parte degli scenari Infrastructure as a Service (IaaS) le macchine virtuali (VM) di Azure rappresentano il carico di lavoro principale per le organizzazioni che usano il cloud computing. Questo è evidente negli scenari ibridi in cui le organizzazioni vogliono eseguire lentamente la migrazione dei carichi di lavoro nel cloud. In questi scenari seguire la considerazioni generali sulla sicurezza per IaaS e applicare le procedure consigliate di sicurezza a tutte le VM.

Proteggere le VM tramite l'autenticazione e il controllo di accesso

Il primo passo per proteggere le VM consiste nel garantire che solo gli utenti autorizzati possano configurare nuove VM e accedervi.

Nota

Per migliorare la sicurezza delle macchine virtuali Linux in Azure, è possibile eseguire l'integrazione tramite l'autenticazione di Microsoft Entra. Quando si usa l'autenticazione di Microsoft Entra per macchine virtuali Linux, i criteri che consentono o negano l'accesso alle macchine virtuali sono controllati e applicati dall'utente a livello centrale.

Procedura consigliata: controllare l'accesso alle VM. Dettagli: usare i criteri di Azure per stabilire convenzioni per le risorse all'interno dell'organizzazione e creare criteri personalizzati. Applicare questi criteri alle risorse, ad esempio ai gruppi di risorse. Le VM che appartengono a un gruppo di risorse ereditano i suoi criteri.

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di ambito al di sopra delle sottoscrizioni. Le sottoscrizioni sono organizzate in gruppi di gestione, o contenitori, a cui vengono applicate le condizioni di governance. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo. I gruppi di gestione offrono gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizioni che si posseggono.

Procedura consigliata: ridurre la variabilità nel programma di configurazione e distribuzione delle macchine virtuali. Dettagli: usare i modelli di Azure Resource Manager per rafforzare le opzioni di distribuzione e facilitare l'individuazione e la creazione di un inventario delle macchine virtuali dell'ambiente.

Procedura consigliata: accesso sicuro con privilegi. Dettagli: per consentire agli utenti di accedere e configurare le VM, usare un approccio con privilegi minimi e i ruoli predefiniti di Azure:

  • Collaboratore Macchina virtuale: può gestire le VM, ma non la rete virtuale o l'account di archiviazione a cui sono connesse.
  • Collaboratore Macchina virtuale classica: può gestire le VM create usando il modello di distribuzione classico ma non la rete virtuale o l'account di archiviazione a cui le VM sono connesse.
  • Amministratore della sicurezza: solo in Defender per il cloud: è possibile visualizzare i criteri di sicurezza e gli stati di sicurezza, modificare i criteri di sicurezza, visualizzare gli avvisi e le raccomandazioni, ignorare gli avvisi e le raccomandazioni.
  • Utente DevTest Labs: può visualizzare tutti gli elementi e connettere, avviare, riavviare e arrestare le VM.

Gli amministratori e i coamministratori della sottoscrizione possono modificare questa impostazione, rendendoli amministratori di tutte le VM di una sottoscrizione. Assicurarsi che tutti gli amministratori e i coamministratori della sottoscrizione che possono accedere ai computer siano attendibili.

Nota

Si consiglia di raggruppare le VM con lo stesso ciclo di vita nel medesimo gruppo di risorse. Usando i gruppi di risorse è possibile distribuire, monitorare ed eseguire il rollup dei costi di fatturazione per le risorse.

Le organizzazioni che controllano l'accesso alle VM e la loro configurazione migliorano la sicurezza complessiva delle VM.

Usare più VM per una maggiore disponibilità

Se la VM esegue applicazioni critiche che richiedono un'elevata disponibilità, è consigliabile usare più VM. Per una migliore disponibilità, usare un set di disponibilità o zone di disponibilità.

Un set di disponibilità è un raggruppamento logico che è possibile usare in Azure per garantire che le risorse delle macchine virtuali inserite dall'utente siano isolate tra loro quando vengono distribuite all'interno di un data center di Azure. Azure garantisce che le macchine virtuali inserite all'interno di un set di disponibilità vengano eseguite tra più server fisici, rack di calcolo, unità di archiviazione e commutatori di rete. In caso di guasto hardware o errore software in Azure, viene interessato solo un subset delle macchine virtuali. L'applicazione nel suo complesso rimarrà disponibile per i clienti. I set di disponibilità sono una funzionalità essenziale da sfruttare quando si vogliono creare soluzioni cloud affidabili.

Protezione dal malware

È consigliabile installare una protezione antimalware per identificare e rimuovere virus, spyware e altro software dannoso. È possibile installare Microsoft Antimalware o una soluzione di protezione degli endpoint di un partner Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender e System Center Endpoint Protection).

Microsoft Antimalware include caratteristiche come la protezione in tempo reale, l'analisi pianificata, il monitoraggio e aggiornamento malware, l'aggiornamento delle firme e del motore, il reporting di campioni e la raccolta degli eventi di esclusione. Per gli ambienti ospitati separatamente dall'ambiente di produzione, è possibile usare un'estensione antimalware per la protezione delle VM e dei servizi cloud.

È possibile integrare Microsoft Antimalware e soluzioni partner con Microsoft Defender per il cloud per facilitare la distribuzione e i rilevamenti predefiniti (avvisi ed eventi imprevisti).

Procedura consigliata: installare una soluzione antimalware per proteggersi dai malware.
Dettagli: installare una soluzione di un partner Microsoft o Microsoft Antimalware

Procedura consigliata: integrare la soluzione antimalware con Defender per il cloud per monitorare lo stato della protezione.
Dettagli: gestire i problemi di protezione degli endpoint con Defender for Cloud

Gestire gli aggiornamenti della VM

Le VM di Azure, ad esempio tutte le VM locali, sono progettate per essere gestite dagli utenti. Azure non esegue il push degli aggiornamenti di Windows alle macchine virtuali. È compito dell'utente gestire gli aggiornamenti delle VM.

Procedura consigliata: mantenere aggiornate le VM.
Dettagli: la soluzione Gestione aggiornamenti in Automazione di Azure consente di gestire gli aggiornamenti del sistema operativo per i computer Windows e Linux distribuiti in Azure, in ambienti locali o in altri provider di servizi cloud. È possibile valutare rapidamente lo stato degli aggiornamenti disponibili in tutti i computer agente e gestire il processo di installazione degli aggiornamenti necessari per i server.

I computer gestiti da Gestione aggiornamenti usano le configurazioni seguenti per le valutazioni e le distribuzioni degli aggiornamenti:

  • Microsoft Monitoring Agent (MMA) per Windows o Linux
  • PowerShell DSC (Desired State Configuration) per Linux
  • Ruolo di lavoro ibrido per runbook di Automazione
  • Microsoft Update o Windows Server Update Services (WSUS) per computer Windows

Se si usa Windows Update, lasciare abilitata l'impostazione automatica di Windows Update.

Procedura consigliata: in fase di distribuzione verificare che le immagini create includano gli aggiornamenti più recenti di Windows.
Dettagli: controllare e installare tutti gli aggiornamenti di Windows come primo passo di ogni distribuzione. Questa misura è particolarmente importante da applicare quando si distribuiscono immagini proprie o provenienti dalla propria libreria. Anche se le immagini di Azure Marketplace vengono aggiornate automaticamente per impostazione predefinita, dopo un rilascio pubblico può esserci un tempo di ritardo (fino a qualche settimana).

Procedura consigliata: ridistribuire periodicamente le VM per forzare una versione aggiornata del sistema operativo.
Dettagli: definire la VM con un modello di Azure Resource Manager in modo che sia possibile ridistribuirla facilmente. La scelta di un modello offre l'opportunità di avere una VM sicura e con patch applicate quando serve.

Procedura consigliata: applicare rapidamente aggiornamenti di sicurezza alle macchine virtuali.
Dettagli: abilitare Microsoft Defender per il cloud (livello gratuito o livello Standard) per identificare gli aggiornamenti di sicurezza mancanti e applicarli.

Procedura consigliata: installare gli aggiornamenti della sicurezza più recenti.
Dettagli: i lab e i sistemi esterni sono tra i primi carichi di lavoro che i clienti spostano in Azure. Se le VM di Azure ospitano applicazioni o servizi che devono essere accessibili da Internet, è importante fare attenzione all'applicazione di patch. Non limitarsi all'applicazione di patch relative al sistema operativo. Anche le vulnerabilità senza patch delle applicazioni di partner possono causare problemi facilmente evitabili con una buona gestione delle patch.

Procedura consigliata: distribuire e testare una soluzione di backup.
Dettagli: il backup deve essere gestito come qualsiasi altra operazione, anche per quanto riguarda i sistemi dell'ambiente di produzione che si estendono al cloud.

I sistemi di sviluppo e test devono seguire strategie di backup con funzionalità di ripristino simili a quelle che gli utenti degli ambienti locali sono ormai abituati a usare. Se possibile, i carichi di lavoro di produzione spostati in Azure devono integrarsi con le soluzioni di backup esistenti. In alternativa, per le esigenze di backup è possibile usare Backup di Azure.

Le organizzazioni che non applicano criteri di aggiornamento del software sono più esposte a minacce che sfruttano vulnerabilità note e corrette in precedenza. Per conformarsi alle normative del settore, le aziende devono dimostrare di operare con diligenza e di usare controlli di sicurezza appropriati per garantire la sicurezza dei carichi di lavoro che si trovano nel cloud.

Le procedure consigliate per l'aggiornamento del software per i data center tradizionali e IaaS di Azure presentano molte analogie. Si consiglia di valutare i criteri di aggiornamento del software correnti per includere le VM di Azure.

Gestire le condizioni di sicurezza della VM

Le minacce informatiche sono in continua evoluzione. Per proteggere le VM è necessaria una capacità di monitoraggio che possa rilevare rapidamente le minacce, impedire l'accesso non autorizzato alle risorse, attivare gli avvisi e ridurre i falsi positivi.

Per monitorare la postura di sicurezza delle macchine virtuali Windows e Linux, usare Microsoft Defender per il cloud. In Defender per il cloud proteggere le macchine virtuali sfruttando le seguenti capacità:

  • Applicare le impostazioni di sicurezza del sistema operativo con le regole di configurazione consigliate.
  • Identificare e scaricare gli aggiornamenti critici e di sicurezza del sistema che potrebbero mancare.
  • Distribuire raccomandazioni per la protezione antimalware degli endpoint.
  • Convalidare la crittografia del disco.
  • Valutare e correggere le vulnerabilità.
  • Rilevare le minacce.

Defender per il cloud può monitorare attivamente le minacce e le minacce potenziali sono esposte negli avvisi di sicurezza. Le minacce correlate sono aggregate in un'unica visualizzazione denominata evento imprevisto per la sicurezza.

Defender per il cloud archivia i dati nei log di Monitoraggio di Azure. I log di Monitoraggio di Azure forniscono un linguaggio di query e un motore di analisi che restituisce informazioni dettagliate sul funzionamento di applicazioni e risorse. I dati vengono raccolti anche da Monitoraggio di Azure, dalle soluzioni di gestione e dagli agenti installati su macchine virtuali nel cloud o in locale. Questa funzionalità condivisa permette di ottenere il quadro completo dell'ambiente.

Le organizzazioni che non applicano condizioni di sicurezza avanzate per le proprie VM rimangono all'oscuro della presenza di potenziali tentativi da parte di utenti non autorizzati di aggirare i controlli di sicurezza.

Monitorare le prestazioni della VM

L'uso improprio delle risorse può essere un problema quando i processi della VM utilizzano più risorse di quanto dovrebbero. I problemi di prestazioni di una VM possono causare interruzioni del servizio, il che viola il principio di disponibilità della sicurezza. Ciò è particolarmente importante per le VM che ospitano IIS o altri server Web, perché un utilizzo elevato di CPU o memoria potrebbe indicare un attacco DoS (Denial of Service). È fondamentale monitorare l'accesso alla VM non solo in modo reattivo (mentre un problema si sta verificando) ma anche in modo proattivo, rispetto alle prestazioni misurate durante il periodo di normale funzionamento.

Si consiglia di usare Monitoraggio di Azure per ottenere visibilità sull'integrità della risorsa. Monitoraggio di Azure offre:

Le organizzazioni che non monitorano le prestazioni delle VM non possono capire se determinate modifiche nei modelli di prestazioni sono normali o anomale. Una VM che consuma più risorse del normale potrebbe indicare un attacco proveniente da una risorsa esterna o un l'esecuzione di un processo compromesso.

Crittografare i file dei dischi rigidi virtuali

È consigliabile crittografare i dischi rigidi virtuali per proteggere il volume di avvio e i volumi dei dati inattivi in archiviazione, oltre alle chiavi di crittografia e ai segreti.

Crittografia dischi di Azure per macchine virtuali Linux VM e Crittografia dischi di Azure per macchine virtuali Windows consentono di crittografare i dischi delle macchine virtuali IaaS Linux e Windows. Crittografia dischi di Azure usa le funzionalità standard di settore DM-Crypt di Linux e BitLocker di Windows per fornire la crittografia del volume per i dischi dati e il sistema operativo. La soluzione è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi di crittografia dei dischi e i segreti nella sottoscrizione dell'insieme di credenziali delle chiavi. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.

Di seguito sono illustrate le procedure consigliate per l'uso della Crittografia dischi di Azure:

Procedura consigliata: abilitare la crittografia nelle VM.
Dettagli: Crittografia dischi di Azure genera e scrive le chiavi di crittografia nell'insieme di credenziali delle chiavi. La gestione delle chiavi di crittografia nell'insieme di credenziali delle chiavi richiede l'autenticazione di Microsoft Entra. Creare un'applicazione Microsoft Entra a questo scopo. Ai fini dell'autenticazione, è possibile usare l'autenticazione basata sul segreto client o l'autenticazione di Microsoft Entra basata sul certificato client.

Procedura consigliata: usare una chiave di crittografia della chiave per aggiungere un livello di sicurezza ulteriore per le chiavi di crittografia. Aggiungere una chiave di crittografia della chiave all'insieme di credenziali delle chiavi.
Dettagli: usare il cmdlet Add-AzKeyVaultKey per creare una chiave di crittografia della chiave nell'insieme di credenziali delle chiavi. Per gestire le chiavi, è anche possibile importare una chiave di crittografia della chiave dal modulo di protezione hardware. Per altre informazioni, vedere la documentazione di Azure Key Vault. Quando viene specificata una chiave di crittografia della chiave, Crittografia dischi di Azure la usa per eseguire il wrapping dei segreti di crittografia prima di scrivere nell'insieme di credenziali delle chiavi. Mantenere una copia di deposito della chiave in un modulo di protezione hardware locale offre un ulteriore livello di protezione contro l'eliminazione accidentale delle chiavi.

Procedura consigliata: catturare uno snapshot e/o eseguire il backup prima che i dischi vengano crittografati. Se si verifica un errore imprevisto durante la crittografia, i backup offrono un'opzione di ripristino.
Dettagli: le macchine virtuali con dischi gestiti richiedono il backup prima della crittografia. Dopo aver eseguito un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Per altre informazioni su come eseguire il backup e il ripristino di macchine virtuali crittografate, vedere l'articolo Backup di Azure.

Procedura consigliata: per assicurarsi che i segreti di crittografia non superino i confini a livello di area, Crittografia dischi di Azure richiede che l'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area.
Dettagli: creare e usare un insieme di credenziali delle chiavi nella stessa area della macchina virtuale da crittografare.

Quando si applica Crittografia dischi di Azure, è possibile soddisfare le esigenze aziendali seguenti:

  • Le VM IaaS inattive sono protette con la tecnologia di crittografia standard, per soddisfare i requisiti di sicurezza e conformità dell'organizzazione.
  • Le VM IaaS vengono avviate con chiavi e criteri controllati dai clienti ed è possibile controllarne l'utilizzo nell'insieme di credenziali delle chiavi.

Limitare la connettività Internet diretta

Monitorare e limitare la connettività Internet diretta delle macchine virtuali. Gli utenti malintenzionati analizzano costantemente gli intervalli IP del cloud pubblico alla ricerca di porte di gestione aperte e cercano di compiere attacchi "semplici", ad esempio sfruttando password comuni e vulnerabilità note per cui non sono disponibili patch. La tabella seguente elenca le procedure consigliate per la protezione da questi attacchi:

Procedura consigliata: impedire l'esposizione accidentale al routing di rete e alla sicurezza.
Dettagli: usare il controllo degli accessi in base al ruolo di Azure per assicurarsi che solo il gruppo di rete centrale disponga dell'autorizzazione di accesso alle risorse di rete.

Procedura consigliata: identificare e correggere eventuali macchine virtuali esposte che consentono l'accesso da “qualsiasi” indirizzo IP di origine.
Dettagli: usare Microsoft Defender per il cloud. Microsoft Defender per il cloud consiglia di limitare l'accesso tramite endpoint con connessione Internet se uno dei gruppi di sicurezza di rete contiene una o più regole in ingresso che consentono l'accesso da "qualsiasi" indirizzo IP di origine. Defender per il cloud consiglierà di modificare queste regole in ingresso per limitare l'accesso agli indirizzi IP di origine che necessitano effettivamente dell'accesso.

Procedura consigliata: limitare le porte di gestione (RDP, SSH).
Dettagli: l’accesso JIT (Just-in-Time) alle macchine virtuali può essere usato per bloccare il traffico in ingresso alle macchine virtuali di Azure, riducendo l'esposizione agli attacchi e al tempo stesso offrendo un facile accesso per connettersi alle macchine virtuali quando necessario. Quando è abilitato l'accesso JIT, Defender per il cloud protegge il traffico in ingresso alle macchine virtuali di Azure creando una regola del gruppo di sicurezza di rete. Selezionare le porte nella macchina virtuale per cui proteggere il traffico in ingresso. Queste porte sono controllate dalla soluzione JIT.

Passaggi successivi

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati: