Servizi e tecnologie per la sicurezza disponibili in Azure

  • Articolo

I clienti attuali e futuri di Azure spesso chiedono se è disponibile un elenco di tutte le tecnologie e i servizi relativi alla sicurezza offerti da Azure

Queste informazioni sono utili ai fini della valutazione delle opzioni per la scelta del provider di servizi cloud. È stato quindi fornito questo elenco per agevolare il processo.

L'elenco verrà modificato e accresciuto nel corso del tempo, parallelamente ad Azure. Ricordare di controllare regolarmente questa pagina per essere sempre aggiornati sulle tecnologie e i servizi relativi alla sicurezza.

Sicurezza di Azure generale

Servizio Descrizione
Microsoft Defender per il cloud Soluzione di protezione dei carichi di lavoro nel cloud che supporta la gestione della sicurezza e la protezione avanzata dalle minacce per carichi di lavoro cloud ibridi.
Microsoft Sentinel Soluzione scalabile e nativa del cloud che offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda.
Azure Key Vault Archivio di segreti sicuro per password, stringhe di connessione e altre informazioni necessarie per il funzionamento delle app.
Log di Monitoraggio di Azure Servizio di monitoraggio che raccoglie dati di telemetria e altri dati e fornisce un linguaggio di query e un motore di analisi per offrire informazioni dettagliate operative per le app e le risorse. Può essere usata da sola o con altri servizi, ad esempio Defender per il cloud.
Lab di sviluppo/test Azure Servizio che consente agli sviluppatori e ai tester di creare rapidamente ambienti in Azure riducendo al minimo gli sprechi e i costi di controllo.

Sicurezza delle risorse di archiviazione

Servizio Descrizione
Crittografia del servizio di archiviazione di Azure Funzionalità di sicurezza che crittografa automaticamente i dati nell'archivio di Azure.
Array virtuale StorSimple di Azure Soluzione di archiviazione integrata che consente di gestire le attività di archiviazione tra un array virtuale locale eseguito in un hypervisor e la risorsa di archiviazione cloud di Microsoft Azure.
Crittografia lato client per i BLOB Soluzione di crittografia lato client che supporta la crittografia dei dati nelle applicazioni client prima del caricamento in Archiviazione di Azure, nonché la decrittografia dei dati durante il download al client.
Firme di accesso condiviso di Archiviazione di Azure Una firma di accesso condiviso (SAS) fornisce accesso delegato alle risorse nell'account di archiviazione.
Chiavi dell'account di archiviazione di Azure Metodo per il controllo di accesso all’archiviazione di Azure usato per autorizzare le richieste all'account di archiviazione tramite le chiavi di accesso dell'account o un account Microsoft Entra (impostazione predefinita).
Condivisioni di File di Azure Tecnologia di sicurezza per l'archiviazione che offre condivisioni file completamente gestite nel cloud, accessibili tramite i protocolli SMB (Server Message Block) e NFS (Network File System) standard di settore, nonché l’API REST di File di Azure.
Analisi archiviazione di Azure Tecnologia per la registrazione e la generazione di metriche per i dati nell'account di archiviazione.

Sicurezza dei database

Servizio Descrizione
Firewall SQL di Azure Funzionalità di controllo di accesso di rete che protegge dagli attacchi basati sulla rete al database.
Crittografia della connessione SQL di Azure Per garantire la sicurezza, il database SQL controlla l'accesso con regole del firewall che limitano la connettività in base all'indirizzo IP, meccanismi di autenticazione che richiedono agli utenti di dimostrare la propria identità e meccanismi di autorizzazione che consentono agli utenti di usufruire solo di azioni e dati specifici.
Azure SQL Always Encrypted Protegge i dati sensibili, ad esempio i numeri di carta di credito o i numeri di identificazione nazionali/regionali, come i codici fiscali, archiviati nei database SQL di Azure, di Istanza gestita di SQL di Azure o di SQL Server.
Transparent Data Encryption con Azure SQL Funzionalità di sicurezza del database che consente di proteggere il database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics contro la minaccia di attività offline dannose crittografando i dati inattivi.
Controllo del database SQL di Azure Il controllo per il database SQL di Azure Synapse Analytics consente di tenere traccia degli eventi che si verificano nei database e di registrarli in un log di controllo nell'account di Archiviazione di Azure, nell'area di lavoro Log Analytics o in Hub eventi.
Regole di rete virtuale Funzionalità di sicurezza del firewall che controlla se il server per i database e i pool elastici nel database SQL di Azure o per i database del pool SQL dedicato (in precedenza SQL DW) in Azure Synapse Analytics accettano comunicazioni inviate da subnet specifiche nelle reti virtuali.

Gestione delle identità e dell'accesso

Servizio Descrizione
Controllo degli accessi in base al ruolo di Azure Funzionalità di controllo di accesso progettata per consentire agli utenti di accedere solo alle risorse necessarie in base ai rispettivi ruoli all'interno dell'organizzazione.
Microsoft Entra ID Servizio di gestione delle identità e degli accessi basato sul cloud che supporta una directory multi-tenant basata sul cloud e più servizi di gestione delle identità all'interno di Azure.
Azure Active Directory B2C Soluzione di gestione degli accessi alle identità dei clienti (CIAM) che consente di controllare il modo in cui i clienti si registrano, effettuano l'accesso e gestiscono i rispettivi profili durante l'uso di applicazioni basate su Azure.
Microsoft Entra Domain Services Versione gestita e basata sul cloud di Active Directory Domain Services, che offre servizi di dominio gestito, ad esempio l'aggiunta al dominio, i criteri di gruppo, il protocollo LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM.
Autenticazione a più fattori Microsoft Entra Infrastruttura di sicurezza che si avvale di diverse forme di autenticazione e verifica prima di consentire l'accesso a informazioni protette.

Backup e ripristino di emergenza

Servizio Descrizione
Backup di Azure Servizio basato su Azure usato per eseguire il backup e il ripristino dei dati nel cloud di Azure.
Azure Site Recovery Servizio online che replica i carichi di lavoro in esecuzione su computer fisici e macchine virtuali da un sito primario in una località secondaria per rendere possibile il ripristino dei servizi dopo un guasto.

Rete

Servizio Descrizione
Gruppi di sicurezza di rete Funzionalità di controllo degli accessi in base alla rete per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure.
Gateway VPN di Azure Dispositivo di rete usato come endpoint VPN per consentire l'accesso cross-premise alle reti virtuali di Azure.
Gateway applicazione di Azure Un servizio avanzato di bilanciamento del carico del traffico Web che consente di gestire il traffico verso le applicazioni Web.
Web application firewall (WAF) Funzionalità che fornisce una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni
Azure Load Balancer Servizio di bilanciamento del carico di rete per applicazioni TCP/UDP.
Azure ExpressRoute Funzionalità che consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata con l'aiuto di un provider di connettività.
Gestione traffico di Azure Servizio di bilanciamento del carico basato su DNS.
Proxy dell'applicazione Microsoft Entra Front-end di autenticazione usato per proteggere l'accesso remoto alle applicazioni Web locali.
Firewall di Azure Un servizio di sicurezza del firewall di rete nativo del cloud e intelligente che fornisce protezione dalle minacce per i carichi di lavoro cloud in esecuzione in Azure.
Protezione DDoS di Azure Insieme alle procedure consigliate di progettazione delle applicazioni, offre un meccanismo di difesa dagli attacchi DDoS (Distributed Denial of Service).
Endpoint servizio di rete virtuale Fornisce una connettività sicura e diretta ai servizi di Azure tramite una route ottimizzata sulla rete backbone di Azure.
Collegamento privato di Azure Consente di accedere ai servizi PaaS di Azure, ad esempio Archiviazione di Azure e Database SQL, nonché ai servizi di proprietà di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.
Azure Bastion Servizio distribuito che consente di connettersi a una macchina virtuale usando il browser e il portale di Azure o tramite il client SSH o RDP nativo già installato nel computer locale.
Frontdoor di Azure Offre funzionalità di protezione delle applicazioni Web al fine di proteggerle da attacchi di rete e exploit di vulnerabilità Web comuni, ad esempio SQL Injection o Cross Site Scripting (XSS).

Passaggi successivi

Altre informazioni sulla sicurezza end-to-end di Azure e su come i servizi di Azure consentono di soddisfare le esigenze di sicurezza dell'azienda e di proteggere utenti, dispositivi, risorse, dati e applicazioni nel cloud.