Procedure consigliate per la sicurezza operativa di Azure

  • Articolo

Questo articolo illustra un set di procedure operative consigliate per la protezione di dati, applicazioni e altre risorse in Azure.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.

Definire e distribuire solide procedure di sicurezza operativa

La sicurezza operativa di Azure include i servizi, i controlli e le funzionalità offerti agli utenti per proteggere i dati, le applicazioni e gli altri asset di Azure. La sicurezza operativa di Azure si basa su un framework che incorpora le conoscenze acquisite tramite funzionalità univoche di Microsoft, tra cui Microsoft Security Development Lifecycle (SDL), il programma Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la sicurezza informatica.

Imporre la verifica a più fattori per gli utenti

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.

Sono disponibili vari modi per richiedere la verifica in due passaggi. L'opzione migliore dipende dall'obiettivo che si intende raggiungere, dall'edizione di Microsoft Entra in esecuzione e dal programma di licenza. Vedere Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per il proprio ambiente. Altre informazioni sulle licenze e i prezzi sono disponibili nelle pagine relative ai prezzi di Microsoft Entra ID e all'autenticazione a più fattori di Microsoft Entra.

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:

Opzione 1: abilitare MFA per tutti gli utenti e i metodi di accesso con le impostazioni predefinite per la sicurezza di Microsoft Entra. Vantaggio: questa opzione consente di applicare facilmente e rapidamente MFA per tutti gli utenti nell'ambiente con criteri rigorosi per:

  • Verificare gli account amministrativi e i meccanismi di accesso amministrativo
  • Richiedere la verifica con autenticazione MFA tramite Microsoft Authenticator per tutti gli utenti
  • Bloccare i protocolli di autenticazione legacy

Questo metodo è disponibile per tutti i livelli di licenza, ma non può essere combinato con criteri di accesso condizionale esistenti. Per altre informazioni, vedere Impostazioni predefinite per la sicurezza di Microsoft Entra

Opzione 2: abilitare l'autenticazione a più fattori modificando lo stato utente.
Vantaggio questo è il metodo tradizionale per richiedere la verifica in due passaggi. Funziona sia con l'autenticazione a più fattori di Microsoft Entra nel cloud, sia con il server Azure MFA. Con questo metodo gli utenti devono eseguire la verifica in due passaggi ogni volta che eseguono l'accesso e viene eseguito l'override dei criteri di accesso condizionale.

Per determinare dove è necessario abilitare l'autenticazione MFA, vedere Determinare la versione dell'autenticazione a più fattori di Microsoft Entra adatta alla propria organizzazione.

Opzione 3: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale. Vantaggio: questa opzione consente di richiedere la verifica in due passaggi in determinate condizioni usando l'accesso condizionale. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti. L'abilitazione di un criterio di accesso condizionale funziona solo per l'autenticazione a più fattori di Microsoft Entra nel cloud ed è una funzionalità premium di Microsoft Entra ID. Per altre informazioni su questo metodo, vedere Implementare l'autenticazione a più fattori di Microsoft Entra basata sul cloud.

Opzione 4: abilitare l'autenticazione a più fattori con criteri di accesso condizionale valutando i criteri di accesso condizionale basati sul rischio.
Vantaggio: questa opzione consente di:

  • Rilevare le potenziali vulnerabilità per le identità dell'organizzazione.
  • Configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità dell'organizzazione.
  • Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.

Questo metodo usa la valutazione del rischio di Microsoft Entra ID Protection per determinare se la verifica in due passaggi è necessaria in funzione del rischio per l'utente e l'accesso per tutte le applicazioni cloud. Questo metodo richiede la licenza di Microsoft Entra ID P2. Per altre informazioni su questo metodo, vedere Microsoft Entra ID Protection.

Nota

L'opzione 2, ovvero l'abilitazione dell'autenticazione a più fattori modificando lo stato utente, esegue l'override dei criteri di accesso condizionale. Dal momento che usano criteri di accesso condizionale, le opzioni 3 e 4 non sono compatibili con l'opzione 2.

Le organizzazioni che non aggiungono livelli supplementari di protezione delle identità, come la verifica in due passaggi, sono più vulnerabili agli attacchi con furto di credenziali. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.

Gestire e monitorare le password utente

La tabella seguente elenca alcune procedure consigliate relative alla gestione delle password utente:

Procedura consigliata: assicurarsi di avere il livello di protezione delle password appropriato nel cloud.
Dettagli: seguire le indicazioni riportate nelle linee guida Microsoft per le password, rivolte agli utenti delle piattaforme di gestione delle identità Microsoft (Microsoft Entra ID, Active Directory e account Microsoft).

Procedura consigliata: monitorare le azioni sospette correlate agli account utente.
Dettagli: monitorare gli utenti a rischio e gli accessi a rischio usando i report di sicurezza di Microsoft Entra.

Procedura consigliata: rilevare e correggere automaticamente le password ad alto rischio.
Dettagli: Microsoft Entra ID Protection è una funzionalità dell'edizione Microsoft Entra ID P2 che consente di:

  • Rilevare le potenziali vulnerabilità per le identità dell'organizzazione
  • Configurare risposte automatizzate alle azioni sospette rilevate correlate alle identità dell'organizzazione
  • Esaminare gli eventi imprevisti sospetti e intraprendere le azioni appropriate per risolverli

Ricevere notifiche sugli eventi imprevisti da Microsoft

Assicurarsi che il team addetto alle operazioni per la sicurezza riceva le notifiche sugli eventi imprevisti di Azure da Microsoft. Una notifica sugli eventi imprevisti informa il team di sicurezza della presenza di risorse di Azure compromesse, in modo che possa rispondere rapidamente e correggere potenziali rischi per la sicurezza.

Nel portale di registrazione di Azure è possibile assicurarsi che le informazioni sul contatto dell'amministratore includano dettagli che notificano le operazioni per la sicurezza. Le informazioni di contatto sono un indirizzo di posta elettronica e un numero di telefono.

Organizzare le sottoscrizioni di Azure in gruppi di gestione

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di ambito al di sopra delle sottoscrizioni. Le sottoscrizioni vengono organizzate in contenitori denominati gruppi di gestione e le condizioni di governance vengono applicate ai gruppi di gestione. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni in una directory. A ogni directory viene assegnato un gruppo di gestione principale denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Il gruppo di gestione radice permette l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory.

Ecco alcune procedure consigliate per l'uso dei gruppi di gestione:

Procedura consigliata: assicurarsi che le nuove sottoscrizioni applichino elementi di governance, come criteri e autorizzazioni, man mano che vengono aggiunte.
Dettagli: usare il gruppo di gestione radice per assegnare elementi di sicurezza a livello aziendale che si applicano a tutte le risorse di Azure. Criteri e autorizzazioni sono esempi di elementi.

Procedura consigliata: allineare i livelli principali dei gruppi di gestione con la strategia di segmentazione per fornire un punto per il controllo e la coerenza dei criteri all'interno di ogni segmento.
Dettagli: creare un singolo gruppo di gestione per ogni segmento nel gruppo di gestione radice. Non creare altri gruppi di gestione nella radice.

Procedura consigliata: limitare la profondità del gruppo di gestione per evitare confusione, che ostacola le operazioni e la sicurezza.
Dettagli: limitare la gerarchia a tre livelli, incluso il livello radice.

Procedura consigliata: selezionare attentamente gli elementi da applicare all'intera organizzazione con il gruppo di gestione radice.
Dettagli: assicurarsi che gli elementi del gruppo di gestione radice abbiano un'evidente necessità di essere applicati a tutte le risorse e che abbiano un impatto ridotto.

Ecco alcuni candidati appropriati:

  • Requisiti normativi che hanno un evidente impatto aziendale, ad esempio, restrizioni correlate alla sovranità dei dati
  • Requisiti con un potenziale effetto negativo pari quasi a quasi zero sulle operazioni, ad esempio criteri con effetto di controllo o assegnazioni di autorizzazioni di Controllo degli accessi in base al ruolo di Azure che siano state esaminate attentamente

Procedura consigliata: pianificare e testare attentamente tutte le modifiche a livello aziendale nel gruppo di gestione radice prima di applicarle (criteri, modello di Controllo degli accessi in base al ruolo di Azure e così via).
Dettagli: le modifiche nel gruppo di gestione radice possono incidere su tutte le risorse in Azure. Sebbene forniscano un modo efficace per garantire la coerenza all'interno dell'azienda, gli errori o l'utilizzo errato possono influire negativamente sulle operazioni di produzione. Testare tutte le modifiche apportate al gruppo di gestione radice in un lab di test o in un progetto pilota di produzione.

Semplificare la creazione degli ambienti con i progetti

Il servizio Azure Blueprints consente ai cloud architect e ai gruppi IT centrali di definire un set ripetibile di risorse di Azure per implementare e rispettare gli standard, i modelli e i requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e configurare rapidamente nuovi ambienti con un set di componenti integrati, sapendo che saranno conformi ai requisiti dell'organizzazione.

Monitorare i servizi di archiviazione per rilevare cambiamenti inattesi nel comportamento

La diagnosi e la risoluzione dei problemi in un'applicazione distribuita ospitata in un ambiente cloud possono essere più complesse di quanto lo siano in ambienti tradizionali. Le applicazioni possono essere distribuite in un'infrastruttura PaaS o IaaS, in locale, su un dispositivo mobile o in una combinazione di questi tipi di ambienti. Il traffico di rete dell'applicazione può passare su reti pubbliche e private e l'applicazione può usare più tecnologie di archiviazione.

È consigliabile monitorare continuamente i servizi di archiviazione usati dall'applicazione per individuare eventuali cambiamenti inattesi nel comportamento, ad esempio tempi di risposta più lunghi. Usare la registrazione per raccogliere dati più dettagliati e analizzare un problema in modo approfondito. Le informazioni di diagnostica che si ottengono con il monitoraggio e la registrazione aiutano a determinare la causa radice del problema incontrato dall'applicazione. È possibile quindi identificare il problema e determinare le misure appropriate per correggerlo.

Il servizio Analisi archiviazione di Azure esegue la registrazione e fornisce i dati di metrica per un account di archiviazione di Azure. È consigliabile usare questi dati per tenere traccia delle richieste, analizzare le tendenze di utilizzo e diagnosticare i problemi relativi al proprio account di archiviazione.

Prevenire le minacce, rilevarle e rispondere

Microsoft Defender per il cloud consente di prevenire, rilevare e rispondere alle minacce offrendo maggiore visibilità e controllo della sicurezza delle risorse di Azure. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, aiuta il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con varie soluzioni di sicurezza.

Il livello gratuito di Defender per il cloud offre una sicurezza limitata per le risorse in Azure e le risorse abilitate per Arc all'esterno di Azure. Le funzionalità di sicurezza avanzate estendono queste funzionalità per includere la gestione di minacce e vulnerabilità, nonché la creazione di report sulla conformità alle normative. I piani di Defender per il cloud consentono di individuare e risolvere le vulnerabilità di sicurezza, di applicare i controlli su applicazioni e accessi per bloccare le attività dannose, di rilevare le minacce usando funzioni di analisi e di intelligence e di rispondere rapidamente in caso di attacco. È possibile provare Defender per il cloud Standard senza costi per i primi 30 giorni. È consigliabile abilitare funzionalità di sicurezza avanzate nelle sottoscrizioni di Azure in Defender per il cloud.

Usare Defender per il cloud per ottenere una visione centralizzata dello stato di sicurezza di tutte le risorse nei data center, in Azure e in altri cloud. Il Centro sicurezza consente di verificare subito che i controlli di sicurezza appropriati siano implementati e configurati correttamente e di identificare rapidamente le risorse che richiedono attenzione.

Defender per il cloud si integra anche con Microsoft Defender per endpoint, che offre funzionalità complete di rilevamento e reazione dagli endpoint (EDR). Con l'integrazione di Microsoft Defender per endpoint è possibile individuare anomalie e rilevare vulnerabilità. È anche possibile rilevare e rispondere agli attacchi avanzati negli endpoint server monitorati da Defender per il cloud.

Quasi tutte le organizzazioni aziendali dispongono di un sistema SIEM (Security Information and Event Management) per identificare le minacce emergenti consolidando le informazioni dei log provenienti da diversi dispositivi di raccolta di segnali. I log vengono quindi analizzati da un sistema di analisi dei dati per estrapolare ciò che è "interessante" dalla mole di dati inutili la cui presenza è inevitabile in tutte le soluzioni di raccolta e analisi dei log.

Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce tramite il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta automatizzata alle minacce.

Ecco alcune procedure consigliate per prevenire, rilevare e rispondere alle minacce:

Procedura consigliata: aumentare la velocità e la scalabilità della soluzione SIEM usando informazioni di sicurezza e gestione degli eventi basate sul cloud.
Dettagli: esaminare le funzionalità di Microsoft Sentinel e confrontarle con le funzionalità di ciò che si sta attualmente usando in locale. Prendere in considerazione l'adozione di Microsoft Sentinel se soddisfa i requisiti SIEM dell'organizzazione.

Procedura consigliata: trovare le vulnerabilità della sicurezza più gravi e stabilire di conseguenza le priorità di indagine.
Dettagli: esaminare il punteggio di sicurezza di Azure per vedere le raccomandazioni risultanti dalle iniziative e dai criteri di Azure integrati in Microsoft Defender per il cloud. Queste raccomandazioni consentono di risolvere i principali rischi, ad esempio aggiornamenti della sicurezza, protezione degli endpoint, crittografia, configurazioni di sicurezza, WAF mancante, macchine virtuali connesse a Internet e molti altri ancora.

Il punteggio di sicurezza, basato sui controlli CIS (Center for Internet Security), consente di confrontare la sicurezza di Azure dell'organizzazione rispetto a origini esterne. La convalida esterna consente di convalidare e arricchire la strategia di sicurezza del team.

Procedura consigliata: monitorare il comportamento di sicurezza dei computer, delle reti, dei servizi di archiviazione e dati e delle applicazioni per individuare e classificare in ordine di priorità i potenziali problemi di sicurezza.
Dettagli: seguire le raccomandazioni sulla sicurezza in Defender per il cloud partendo dagli elementi con priorità più alta.

Procedura consigliata: integrare gli avvisi di Defender per il cloud nella propria soluzione SIEM (Security Information and Event Management).
Dettagli: la maggior parte delle organizzazioni con una soluzione SIEM la usa come portale centrale per gli avvisi di sicurezza che richiedono la risposta di un analista. Gli eventi elaborati prodotti da Defender per il cloud vengono pubblicati nel log attività di Azure, uno dei log disponibili tramite Monitoraggio di Azure. Monitoraggio di Azure offre una pipeline consolidata per eseguire il routing dei dati di monitoraggio in uno strumento SIEM. Per istruzioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT. Se si usa Microsoft Sentinel, vedere Connettere Microsoft Defender per il cloud.

Procedura consigliata: integrare i log di Azure con la soluzione SIEM.
Dettagli: usare Monitoraggio di Azure per raccogliere ed esportare i dati. Questa procedura è fondamentale per abilitare l'analisi degli eventi imprevisti di sicurezza e la conservazione dei log online è limitata. Se si usa Microsoft Sentinel, vedere Connettere le origini dati.

Procedura consigliata: velocizzare i processi di indagine e ricerca e ridurre i falsi positivi integrando funzionalità di rilevamento e reazione dagli endpoint (EDR) nelle indagini sugli attacchi.
Dettagli: abilitare l'integrazione di Microsoft Defender per endpoint tramite i criteri di sicurezza di Defender per il cloud. Valutare l'opportunità di usare Microsoft Sentinel per la ricerca delle minacce e la risposta agli eventi imprevisti.

Monitoraggio della rete basato su scenari end-to-end

Per creare una rete end-to-end in Azure, i clienti combinano varie risorse di rete, ad esempio una rete virtuale, ExpressRoute, un gateway applicazione e servizi di bilanciamento del carico. Il monitoraggio è disponibile in ognuna delle risorse di rete.

Network Watcher di Azure è un servizio a livello di area, dotato di strumenti di diagnostica e di visualizzazione che consentono di monitorare e diagnosticare le condizioni a livello di scenario di rete in Azure, verso e da Azure.

Di seguito vengono descritte le procedure consigliate per il monitoraggio della rete e gli strumenti disponibili.

Procedura consigliata: automatizzare il monitoraggio remoto della rete con l'acquisizione pacchetti.
Dettaglio: monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali usando Network Watcher. Attivare l'acquisizione dei pacchetti impostando gli avvisi e ottenere l'accesso alle informazioni sulle prestazioni in tempo reale a livello del pacchetto. Quando viene rilevato un problema, è possibile esaminarlo in dettaglio per una diagnosi migliore.

Procedura consigliata: acquisire informazioni dettagliate sul traffico di rete usando i log dei flussi.
Dettaglio: ottenere informazioni approfondite sui modelli di traffico di rete con i log dei flussi del gruppo di sicurezza di rete. Le informazioni contenute nei log dei flussi aiutano a raccogliere i dati per la conformità, il controllo e il monitoraggio del profilo di sicurezza della rete.

Procedura consigliata: diagnosticare i problemi di connettività della VPN.
Dettaglio: usare Network Watcher per diagnosticare i problemi di connessione e di Gateway VPN più comuni. Non è solo possibile identificare il problema ma si può anche usare i log dettagliati per altre indagini.

Distribuzione sicura tramite strumenti DevOps collaudati

Usare le seguenti procedure consigliate di DevOps per assicurarsi che i team e l'azienda siano produttivi ed efficienti.

Procedura consigliata: automatizzare la creazione e la distribuzione di servizi.
Dettaglio: l'infrastruttura come codice rappresenta un set di tecniche e procedure che aiutano i professionisti IT a evitare il carico di lavoro associato alla creazione e alla gestione quotidiana dell'infrastruttura modulare. Lo scopo è consentire ai professionisti IT di creare e gestire un ambiente server moderno in modo simile a quello usato dagli sviluppatori di software per creare e gestire il codice delle applicazioni.

È possibile usare Azure Resource Manager per effettuare il provisioning delle applicazioni usando un modello dichiarativo. In un unico modello, è possibile distribuire più servizi con le relative dipendenze. Lo stesso modello viene usato per distribuire ripetutamente l'applicazione in ogni fase del ciclo di vita dell'applicazione.

Procedura consigliata: compilare e distribuire automaticamente app Web o servizi cloud di Azure.
Dettagli: è possibile configurare Azure DevOps Projects in modo da compilare ed eseguire automaticamente la distribuzione nelle app Web o nei servizi cloud di Azure. Azure DevOps distribuisce automaticamente i file binari dopo una compilazione in Azure e dopo ogni archiviazione del codice. Il processo di compilazione del pacchetto equivale al comando Pacchetto di Visual Studio, mentre i passaggi per la pubblicazione equivalgono al comando Pubblica di Visual Studio.

Procedura consigliata: automatizzare la gestione del rilascio.
Dettaglio: Azure Pipelines è una soluzione per automatizzare la distribuzione in più fasi e la gestione del processo di rilascio. È possibile creare pipeline gestite di distribuzione continua per rilasciare versioni in modo rapido, semplice e frequente. Con Azure Pipelines è possibile automatizzare il processo di rilascio e definire flussi di lavoro predefiniti per l'approvazione. Sono supportate la distribuzione locale e nel cloud, l'estensione e la personalizzazione in base alle specifiche esigenze.

Procedura consigliata: verificare le prestazioni dell'app prima di implementarla o di distribuirne gli aggiornamenti nell'ambiente di produzione.
Dettagli: eseguire test di carico basati sul cloud per:

  • Individuare problemi di prestazioni nell'app.
  • Migliorare la qualità della distribuzione.
  • Assicurarsi che l'app sia sempre disponibile.
  • Assicurarsi che l'app possa gestire il traffico per la prossima campagna di lancio o di marketing.

Apache JMeter è un popolare strumento open source gratuito supportato da un'ampia community.

Procedura consigliata: monitorare le prestazioni dell'applicazione.
Dettaglio: Azure Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. È possibile usare Application Insights per monitorare l'applicazione Web mentre è in esecuzione. Il servizio rileva automaticamente le anomalie nelle prestazioni e include strumenti di analisi che consentono di diagnosticare i problemi e di conoscere come viene effettivamente usata l'app dagli utenti. È progettato per favorire un costante miglioramento delle prestazioni e dell'usabilità.

Attenuazione e protezione da attacchi Distributed Denial of Service (DDoS)

Il Distributed Denial of Service (DDoS) è un tipo di attacco che tenta di esaurire le risorse dell'applicazione. L'obiettivo è compromettere la disponibilità e la capacità dell'applicazione di gestire richieste legittime. Gli attacchi stanno diventando più sofisticati con dimensioni e impatto maggiori. Possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

La progettazione e la creazione per la resilienza agli attacchi Distributed Denial of Service (DDoS) richiedono pianificazione e progettazione per un'ampia gamma di modalità di errore. Di seguito vengono descritte le procedure consigliate per la creazione di servizi resilienti a DDoS in Azure.

Procedura consigliata: assicurarsi che la sicurezza sia un aspetto prioritario durante l'intero ciclo di vita di un'applicazione, dalla progettazione e l'implementazione alla distribuzione e al funzionamento. Le applicazioni possono contenere bug che consentono a un volume relativamente basso di richieste di usare una quantità elevata di risorse, provocando un'interruzione del servizio.
Dettaglio: per proteggere un servizio in esecuzione in Microsoft Azure, è consigliabile avere una buona conoscenza dell'architettura delle applicazioni e concentrarsi sui cinque punti chiave della qualità del software. I clienti devono conoscere i volumi di traffico tipici, il modello di connettività tra l'applicazione e le altre applicazioni e gli endpoint di servizio esposti a Internet pubblico.

Garantire che un'applicazione sia abbastanza resiliente da riuscire a gestire un attacco Denial of Service destinato all'applicazione stessa è di fondamentale importanza. Sicurezza e privacy sono integrate direttamente nella piattaforma di Azure, a partire dal processo Security Development Lifecycle (SDL). SDL si rivolge alla sicurezza in ogni fase di sviluppo e assicura che Azure sia continuamente aggiornato per renderlo ancora più sicuro.

Procedura consigliata: progettare le applicazioni con scalabilità orizzontale per soddisfare la richiesta di un carico amplificato, in particolare in caso di attacco DDoS. Se l'applicazione dipende da una singola istanza di un servizio, crea un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.
Dettaglio: per Servizio app di Azure selezionare un piano di servizio app che offra più istanze.

Per Servizi cloud di Azure, configurare ognuno dei ruoli in modo da usare più istanze.

Per Macchine virtuali di Microsoft Azure, verificare che l'architettura di VM includa più macchine virtuali e che ogni macchina virtuale sia inclusa in un set di disponibilità. Si consiglia di usare set di scalabilità di macchine virtuali per le funzionalità di scalabilità automatica.

Procedura consigliata: la disposizione delle difese su più livelli in un'applicazione riduce le probabilità di riuscita degli attacchi. Implementare progettazioni sicure per le applicazioni tramite le funzionalità integrate della piattaforma di Azure.
Dettaglio: il rischio di attacco aumenta con le dimensioni (superficie di attacco) dell'applicazione. È possibile ridurre la superficie di attacco usando un elenco di approvazioni per chiudere lo spazio indirizzi IP esposto e le porte di ascolto non necessarie nei servizi di bilanciamento del carico (Azure Load Balancer e gateway applicazione di Azure).

I gruppi di sicurezza di rete rappresentano un altro modo per ridurre la superficie di attacco. È possibile usare tag di servizio e gruppi di sicurezza dell'applicazione per ridurre la complessità per la creazione della regola di sicurezza e configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione.

Distribuire i servizi di Azure in una rete virtuale, laddove possibile. Ciò consente alle risorse del servizio di comunicare attraverso indirizzi IP privati. Il traffico del servizio di Azure da una rete virtuale usa indirizzi IP pubblici come indirizzi IP di origine per impostazione predefinita.

Tramite gli endpoint di servizio il traffico del servizio passa all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale.

Le risorse locali dei clienti che vengono spesso attaccate insieme alle risorse in Azure. Se si connette un ambiente locale ad Azure, ridurre al minimo l'esposizione delle risorse locali alla rete Internet pubblica.

Azure prevede due offerte di servizio contro gli attacchi DDoS per la protezione della rete:

  • La protezione di base è integrata in Azure per impostazione predefinita senza costi aggiuntivi. La scala e la capacità complete della rete globalmente distribuita di Azure forniscono una difesa contro gli attacchi comuni a livello di rete tramite il monitoraggio costante del traffico e la mitigazione in tempo reale. La protezione di base non richiede alcuna modifica della configurazione utente o dell'applicazione e aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS come DNS di Azure.
  • La protezione standard offre funzionalità avanzate di attenuazione degli attacchi DDoS contro gli attacchi alla rete e viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure. La protezione è semplice da abilitare durante la creazione di reti virtuali. Può essere abilitata anche dopo la creazione e non richiede alcuna modifica delle applicazioni o delle risorse.

Abilitare Criteri di Azure

Criteri di Azure è un servizio disponibile in Azure che consente di creare, assegnare e gestire criteri. Questi criteri applicano regole ed effetti alle risorse, in modo che le risorse rimangano conformi ai contratti di servizio e agli standard aziendali. Criteri di Azure soddisfa questa esigenza valutando la mancata conformità delle risorse ai criteri assegnati.

Abilitare Criteri di Azure per monitorare e applicare i criteri scritti dell'organizzazione. Questo garantirà la conformità con i requisiti di sicurezza normativi o aziendali tramite la gestione centralizzata dei criteri di sicurezza nei carichi di lavoro cloud ibridi. Leggere come creare e gestire i criteri per applicare la conformità. Per una panoramica degli elementi di un criterio, vedere Struttura delle definizioni di Criteri di Azure.

Ecco alcune procedure consigliate per la sicurezza da seguire dopo l'adozione di Criteri di Azure:

Procedura consigliata: i criteri supportano diversi tipi di effetti. È possibile leggere informazioni in merito in Struttura delle definizioni di Criteri di Azure. Le operazioni aziendali possono essere influenzate negativamente dall'effetto di rifiuto e dall'effetto di correzione, quindi iniziare con l'effetto di controllo per limitare il rischio di un impatto negativo dei criteri.
Dettagli: avviare le distribuzioni dei criteri in modalità di controllo e in seguito procedere con il rifiuto o la correzione. Testare ed esaminare i risultati dell'effetto di controllo prima di passare al rifiuto o alla correzione.

Per altre informazioni, vedere Creare e gestire i criteri per applicare la conformità.

Procedura consigliata: identificare i ruoli responsabili di monitorare le violazioni dei criteri e garantire che venga eseguita rapidamente l'azione di correzione corretta.
Dettagli: chiedere al ruolo assegnato di monitorare la conformità tramite il portale di Azure o tramite la riga di comando.

Procedura consigliata: Criteri di Azure è una rappresentazione tecnica dei criteri scritti di un'organizzazione. Eseguire il mapping di tutte le definizioni di Criteri di Azure ai criteri dell'organizzazione per ridurre la confusione e aumentare la coerenza.
Dettagli: mapping dei documenti nella documentazione dell'organizzazione o nella definizione stessa di Criteri di Azure aggiungendo un riferimento ai criteri organizzativi nella definizione dei criteri o nella descrizione della definizione dell'iniziativa.

Monitorare i report sui rischi di Microsoft Entra

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente. L'individuazione di identità compromesse non è un'operazione semplice. Microsoft Entra ID usa l'euristica e gli algoritmi adattivi di Machine Learning per rilevare azioni sospette correlate agli account utente. Ogni azione sospetta rilevata viene archiviata in un record detto rilevamento di rischi. I rilevamenti dei rischi vengono registrati nei report di sicurezza di Microsoft Entra. Per altre informazioni, vedere il report della sicurezza sugli utenti a rischio e il report della sicurezza sugli accessi a rischio.

Passaggi successivi

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati: