Panoramica: applicare i principi Zero Trust alla rete di Azure

Questa serie di articoli illustra come applicare i principi di Zero Trust all'infrastruttura di rete in Microsoft Azure in base a un approccio multidisciplinare. Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente:

  • Verificare esplicita
  • Usare l'accesso con privilegi minimi
  • Presunzione di violazione

L'implementazione della mentalità Zero Trust per "presupporre violazioni, non considerare mai attendibili, verificare sempre" richiede modifiche all'infrastruttura di rete cloud, alla strategia di distribuzione e all'implementazione.

Gli articoli seguenti illustrano come applicare l'approccio Zero Trust alla rete per i servizi di infrastruttura di Azure distribuiti comunemente:

Importante

Questo materiale sussidiario zero trust descrive come usare e configurare diverse soluzioni e funzionalità di sicurezza disponibili in Azure per un'architettura di riferimento. Diverse altre risorse forniscono anche indicazioni sulla sicurezza per queste soluzioni e funzionalità, tra cui:

Per descrivere come applicare un approccio Zero Trust, questa guida è destinata a un modello comune usato nell'ambiente di produzione da molte organizzazioni: un'applicazione basata su macchine virtuali ospitata in una rete virtuale (e un'applicazione IaaS). Si tratta di un modello comune per le organizzazioni che eseguono la migrazione di applicazioni locali ad Azure, talvolta definite "lift-and-shift".

Protezione dalle minacce con Microsoft Defender per il cloud

Per il principio Presupporre la violazione Zero Trust per la rete di Azure, Microsoft Defender per il cloud è una soluzione XDR (Extended Detection and Response) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso provenienti da tutto l'ambiente. Defender per il cloud deve essere usato insieme a Microsoft Defender XDR per offrire una maggiore ampiezza della protezione correlata dell'ambiente, come illustrato nel diagramma seguente.

Diagramma dell'architettura logica di Microsoft Defender per il cloud e Microsoft Defender XDR che fornisce la protezione dalle minacce per la rete di Azure.

Nel diagramma:

  • Defender per il cloud è abilitato per un gruppo di gestione che include più sottoscrizioni di Azure.
  • Microsoft Defender XDR è abilitato per le app e i dati di Microsoft 365, le app SaaS integrate con Microsoft Entra ID e Active Directory locale server Domain Services (AD DS).

Per altre informazioni sulla configurazione dei gruppi di gestione e sull'abilitazione di Defender per il cloud, vedere:

Risorse aggiuntive

Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure IaaS: