Panoramica: applicare i principi Zero Trust ad Azure IaaS

Nota

L'imminente livestream partecipa al team di Azure FastTrack durante la discussione di questo articolo. 23 ottobre 2024 | 10.00 - 11.00 (UTC-07.00) Ora pacifico (Stati Uniti e Canada). Registrati qui.

Riepilogo: per applicare i principi Zero Trust ai componenti e all'infrastruttura IaaS di Azure, è prima necessario comprendere l'architettura di riferimento comune e i componenti di archiviazione di Azure, macchine virtuali e reti virtuali spoke e hub.

Questa serie di articoli illustra come applicare i principi di Zero Trust ai carichi di lavoro in Microsoft Azure IaaS in base a un approccio multidisciplinare per applicare i principi Zero Trust. Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente:

  • Verificare esplicita
  • Usare l'accesso con privilegi minimi
  • Presunzione di violazione

L'implementazione della mentalità Zero Trust per "presupporre violazioni, non considerare mai attendibili, verificare sempre" richiede modifiche all'infrastruttura cloud, alla strategia di distribuzione e all'implementazione.

Queste serie iniziali di cinque articoli (inclusa questa introduzione) illustrano come applicare l'approccio Zero Trust a uno scenario aziendale IT comune basato sui servizi di infrastruttura. Il lavoro è suddiviso in unità che possono essere configurate insieme come segue:

Per altre informazioni, vedere Applicare principi Zero Trust a Desktop virtuale Azure.

Nota

Altri articoli verranno aggiunti a questa serie in futuro, tra cui il modo in cui le organizzazioni possono applicare un approccio Zero Trust alle applicazioni, alle reti, ai dati e ai servizi DevOps basati su ambienti aziendali IT reali.

Importante

Questo materiale sussidiario zero trust descrive come usare e configurare diverse soluzioni e funzionalità di sicurezza disponibili in Azure per un'architettura di riferimento. Diverse altre risorse forniscono anche indicazioni sulla sicurezza per queste soluzioni e funzionalità, tra cui:

Per descrivere come applicare un approccio Zero Trust, questa guida è destinata a un modello comune usato nell'ambiente di produzione da molte organizzazioni: un'applicazione basata su macchine virtuali ospitata in una rete virtuale (e un'applicazione IaaS). Si tratta di un modello comune per le organizzazioni che eseguono la migrazione di applicazioni locali ad Azure, talvolta definite "lift-and-shift". L'architettura di riferimento include tutti i componenti necessari per supportare questa applicazione, inclusi i servizi di archiviazione e una rete virtuale hub.

L'architettura di riferimento riflette un modello di distribuzione comune negli ambienti di produzione. Non si basa sulle zone di destinazione su scala aziendale consigliate in Cloud Adoption Framework (CAF), anche se molte delle procedure consigliate in CAF sono incluse nell'architettura di riferimento, ad esempio l'uso di una rete virtuale dedicata per ospitare i componenti che brokerano l'accesso all'applicazione (rete virtuale hub).

Per informazioni sulle linee guida consigliate nelle zone di destinazione di Azure di Cloud Adoption Framework, vedere queste risorse:

Architettura di riferimento

La figura seguente illustra l'architettura di riferimento per questa guida Zero Trust.

Diagramma dell'architettura di riferimento per l'applicazione di Zero Trust ad Azure IaaS che contiene diversi tipi di utenti, applicazioni comuni in esecuzione in macchine virtuali, servizi PaaS e archiviazione.

Questa architettura contiene:

  • Più componenti e elementi IaaS, inclusi diversi tipi di utenti e consumer IT che accedono all'app da siti diversi. ad esempio Azure, Internet, locale e succursali.
  • Applicazione a tre livelli comune contenente un livello front-end, un livello applicazione e un livello dati. Tutti i livelli vengono eseguiti in macchine virtuali all'interno di una rete virtuale denominata SPOKE. L'accesso all'app è protetto da un'altra rete virtuale denominata HUB che contiene servizi di sicurezza aggiuntivi.
  • Alcuni dei servizi PaaS più usati in Azure che supportano le applicazioni IaaS, tra cui il controllo degli accessi in base al ruolo e l'ID Microsoft Entra, che contribuiscono all'approccio alla sicurezza Zero Trust.
  • BLOB di archiviazione e file di archiviazione che forniscono l'archiviazione degli oggetti per le applicazioni e i file condivisi dagli utenti.

Questa serie di articoli illustra le raccomandazioni per l'implementazione di Zero Trust per l'architettura di riferimento risolvendo ognuna di queste parti più grandi ospitate in Azure, come illustrato di seguito.

Diagramma dell'architettura di riferimento per l'applicazione di Zero Trust ad Azure IaaS che mostra i componenti raggruppati per le reti virtuali, spoke e di archiviazione.

Il diagramma illustra le aree più grandi dell'architettura affrontate da ogni articolo di questa serie:

  1. servizi Archiviazione di Azure
  2. Macchine virtuali
  3. Reti virtuali spoke
  4. Reti virtuali dell'hub

È importante notare che le linee guida contenute in questa serie di articoli sono più specifiche per questo tipo di architettura rispetto alle linee guida fornite in Cloud Adoption Framework e nelle architetture delle zone di destinazione di Azure. Se sono state applicate le linee guida in una di queste risorse, assicurarsi di esaminare anche questa serie di articoli per consigli aggiuntivi.

Informazioni sui componenti di Azure

Il diagramma dell'architettura di riferimento fornisce una visione topologica dell'ambiente. È anche utile vedere logicamente come ognuno dei componenti può essere organizzato all'interno dell'ambiente Azure. Il diagramma seguente consente di organizzare le sottoscrizioni e i gruppi di risorse. Le sottoscrizioni di Azure potrebbero essere organizzate in modo diverso.

Diagramma dell'architettura logica per l'applicazione di Zero Trust ad Azure IaaS con sottoscrizioni, Microsoft Defender per il cloud e Monitoraggio di Azure e gruppi di risorse all'interno di un tenant di Microsoft Entra ID.

In questo diagramma l'infrastruttura di Azure è contenuta all'interno di un tenant di Microsoft Entra ID. Nella tabella seguente vengono descritte le diverse sezioni illustrate nel diagramma.

  • Sottoscrizioni di Azure

    È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo articolo è descritto nella documentazione di Cloud Adoption Framework e della zona di destinazione di Azure a cui si fa riferimento in precedenza. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dalla modalità di separazione dell'ambiente e dal numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare autorizzazioni con il controllo degli accessi in base al ruolo e i criteri di Azure a un gruppo di sottoscrizioni invece di configurare ogni sottoscrizione singolarmente.

  • Microsoft Defender per il cloud e Monitoraggio di Azure

    Per ogni sottoscrizione di Azure è disponibile un set di soluzioni di Monitoraggio di Azure e Defender per il cloud. Se si gestiscono queste sottoscrizioni tramite un gruppo di gestione, è possibile consolidare in un unico portale per tutte le funzionalità di Monitoraggio di Azure e Defender per il cloud. Ad esempio, Secure Score, fornito da Defender per il cloud, vengono consolidati per tutte le sottoscrizioni, usando un gruppo di gestione come ambito.

  • Gruppo di risorse di archiviazione (1)

    L'account di archiviazione è contenuto in un gruppo di risorse dedicato. È possibile isolare ogni account di archiviazione in un gruppo di risorse diverso per un controllo delle autorizzazioni più granulare. I servizi di archiviazione di Azure sono contenuti all'interno di un account di archiviazione dedicato. È possibile avere un account di archiviazione per ogni tipo di carico di lavoro di archiviazione, ad esempio un archivio oggetti (detto anche archiviazione BLOB) e File di Azure. Ciò offre un controllo di accesso più granulare e può migliorare le prestazioni.

  • Gruppo di risorse macchine virtuali (2)

    Le macchine virtuali sono contenute in un gruppo di risorse. È anche possibile avere ogni tipo di macchina virtuale per i livelli di carico di lavoro, ad esempio front-end, applicazione e dati in gruppi di risorse diversi per isolare ulteriormente il controllo di accesso.

  • Gruppi di risorse di rete virtuale spoke (3) e hub (4) in sottoscrizioni separate

    La rete e altre risorse per ognuna delle reti virtuali nell'architettura di riferimento sono isolate all'interno di gruppi di risorse dedicati per le reti virtuali spoke e hub. Questa organizzazione funziona bene quando si ha la responsabilità di questi utenti in team diversi. Un'altra opzione consiste nell'organizzare questi componenti inserendo tutte le risorse di rete in un gruppo di risorse e le risorse di sicurezza in un altro. Dipende dal modo in cui l'organizzazione è configurata per gestire queste risorse.

Protezione dalle minacce con Microsoft Defender per il cloud

Microsoft Defender per il cloud è una soluzione di rilevamento e risposta estesa (XDR) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso da tutto l'ambiente. Defender per il cloud deve essere usato insieme a Microsoft Defender XDR per offrire una maggiore ampiezza della protezione correlata dell'ambiente, come illustrato nel diagramma seguente.

Diagramma dell'architettura logica di Microsoft Defender per il cloud e Microsoft Defender XDR che fornisce la protezione dalle minacce per i componenti IaaS di Azure.

Nel diagramma:

  • Defender per il cloud è abilitato per un gruppo di gestione che include più sottoscrizioni di Azure.
  • Microsoft Defender XDR è abilitato per le app e i dati di Microsoft 365, le app SaaS integrate con Microsoft Entra ID e Active Directory locale server Domain Services (AD DS).

Per altre informazioni sulla configurazione dei gruppi di gestione e sull'abilitazione di Defender per il cloud, vedere:

Soluzioni di sicurezza in questa serie di articoli

Zero Trust prevede l'applicazione di più discipline di sicurezza e protezione delle informazioni insieme. In questa serie di articoli, questo approccio multi-disciplina viene applicato a ognuna delle unità di lavoro per i componenti dell'infrastruttura come indicato di seguito:

Applicare i principi Zero Trust all'archiviazione di Azure

  1. Proteggere i dati in tutte e tre le modalità: dati inattivi, dati in transito e dati in uso
  2. Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi
  3. Separare o separare logicamente i dati critici con i controlli di rete
  4. Usare Defender per Archiviazione per il rilevamento e la protezione automatizzati delle minacce

Applicare principi Zero Trust alle macchine virtuali in Azure

  1. Configurare l'isolamento logico per le macchine virtuali
  2. Sfruttare i Controllo di accesso basati sui ruoli
  3. Proteggere i componenti di avvio della macchina virtuale
  4. Abilitare chiavi gestite dal cliente e doppia crittografia
  5. Controllare le applicazioni installate nelle macchine virtuali
  6. Configurare l'accesso sicuro
  7. Configurare la manutenzione sicura delle macchine virtuali
  8. Abilitare il rilevamento e la protezione avanzata delle minacce

Applicare i principi Zero Trust a una rete virtuale spoke in Azure

  1. Sfruttare il controllo degli accessi in base al ruolo di Microsoft Entra o configurare ruoli personalizzati per le risorse di rete
  2. Isolare l'infrastruttura nel proprio gruppo di risorse
  3. Creare un gruppo di sicurezza di rete per ogni subnet
  4. Creare un gruppo di sicurezza delle applicazioni per ogni ruolo della macchina virtuale
  5. Proteggere il traffico e le risorse all'interno della rete virtuale
  6. Proteggere l'accesso alla rete virtuale e all'applicazione
  7. Abilitare il rilevamento e la protezione avanzata delle minacce

Applicare principi Zero Trust a una rete virtuale hub in Azure

  1. Secure Firewall di Azure Premium
  2. Distribuire Protezione DDoS di Azure Standard
  3. Configurare il routing del gateway di rete al firewall
  4. Configurare la protezione dalle minacce

Illustrazioni tecniche

Queste illustrazioni sono repliche delle illustrazioni di riferimento contenute in questi articoli. Scaricare e personalizzare questi elementi per l'organizzazione e i clienti. Sostituire il logo contoso con il proprio.

Articolo Descrizione
immagine di anteprima 1Scaricare Visio
Aggiornamento di ottobre 2024
Applicare i principi Zero Trust ad Azure IaaS
Usare queste illustrazioni con questi articoli:
- Sintesi
- Archiviazione di Azure
- Macchine virtuali
- Reti virtuali spoke di Azure
- Reti virtuali dell'hub di Azure
immagine di anteprima 2Scaricare Visio
Aggiornamento di ottobre 2024
Applicare i principi Zero Trust ad Azure IaaS - Poster di una pagina
Panoramica di una pagina del processo per l'applicazione dei principi di Zero Trust agli ambienti IaaS di Azure.

Per altre illustrazioni tecniche, vedere Illustrazioni Zero Trust per architetti IT e implementatori.

Di seguito sono riportati i moduli di training consigliati per Zero Trust.

Gestione e governance di Azure

Formazione Descrivere la gestione e la governance di Azure
Il training Concetti fondamentali di Azure è costituito da tre percorsi di apprendimento: Concetti fondamentali di Microsoft Azure: Descrivere i concetti relativi al cloud, Descrivere l'architettura e i servizi di Azure e Descrivere la gestione e la governance di Azure. Concetti fondamentali di Microsoft Azure: Descrivere la gestione e la governance di Azure è il terzo percorso di apprendimento della serie Concetti fondamentali di Microsoft Azure. Questo percorso di apprendimento illustra le risorse di gestione e governance disponibili per gestire le risorse cloud e locali.
Questo percorso di apprendimento consente di prepararsi all'esame AZ-900: Concetti fondamentali di Microsoft Azure.

Configurare Criteri di Azure

Formazione Configurare Criteri di Azure
Scoprire come configurare Criteri di Azure per implementare i requisiti di conformità.
In questo modulo si apprenderà come:
  • Creare gruppi di gestione per assegnare i criteri e i budget di spesa.
  • Implementare Criteri di Azure con definizioni di criteri e iniziative.
  • Definire l'ambito dei criteri di Azure e determinare la conformità.
  • Gestire le operazioni di sicurezza

    Formazione Gestire l'operazione di sicurezza
    Dopo avere distribuito e protetto l'ambiente di Azure, occorre imparare a monitorare, gestire e migliorare continuamente la sicurezza delle soluzioni.
    Questo percorso di apprendimento consente di prepararsi all'esame AZ-500: Tecnologie di sicurezza di Microsoft Azure.

    Configurare la sicurezza dell'archiviazione

    Formazione Configurare la sicurezza dell'archiviazione
    Si apprenderà come configurare le funzionalità di sicurezza di Archiviazione di Azure come le firme di accesso alle risorse di archiviazione.
    Contenuto del modulo
  • Configurare una firma di accesso condiviso (SAS), inclusi i parametri URI (Uniform Resource Identifier) e SAS.
  • Configurare la crittografia di Archiviazione di Azure.
  • Implementare chiavi gestite dal cliente.
  • Consigliare opportunità per migliorare la sicurezza di Archiviazione di Azure.
  • Configurare Firewall di Azure

    Formazione Configurare Firewall di Azure
    In questo modulo si apprenderà come configurare Firewall di Azure e come usare le regole del firewall.
    Dopo avere completato questo modulo, si sarà in grado di:
  • Determinare quando usare Firewall di Azure.
  • Implementare Firewall di Azure, tra cui le regole del firewall.
  • Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
    Sicurezza in Azure | Microsoft Learn

    Passaggi successivi

    Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:

    Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust alla rete di Azure:

    Riferimenti

    Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.