procedure consigliate per la sicurezza operativa di Azure

Questo articolo fornisce un set di procedure consigliate operative per la protezione di dati, applicazioni e altri asset in Azure.

Le procedure consigliate si basano su un consenso d'opinione e funzionano con le funzionalità e i set di funzionalità della piattaforma Azure correnti. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.

Questo articolo è allineato al modello di sicurezza Zero Trust di Microsoft, che presuppone la violazione e richiede la verifica continua. Per i controlli di sicurezza prescrittivi con imposizione Azure Policy, vedere Microsoft Cloud Security Benchmark v2 - Risposta agli eventi imprevisti e MCSB v2 - Gestione della postura e della vulnerabilità.

Definire e distribuire solide procedure di sicurezza operativa

Azure sicurezza operativa si riferisce ai servizi, ai controlli e alle funzionalità disponibili agli utenti per proteggere i dati, le applicazioni e altri asset in Azure. Azure sicurezza operativa si basa su un framework che incorpora le conoscenze acquisite tramite funzionalità esclusive di Microsoft, incluso il programma Security Development Lifecycle (SDL), il Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce alla cybersecurity.

Imporre la verifica a più fattori per gli utenti

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.

Sono disponibili vari modi per richiedere la verifica in due passaggi. L'opzione migliore dipende dagli obiettivi, dall'edizione Microsoft Entra in esecuzione e dal programma di licenza. Vedi Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per te. Per altre informazioni sulle licenze e sui prezzi, vedere <>Microsoft Entra ID e Microsoft Entra Autenticazione a più fattori.

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:

Option 1: abilitare mfa per tutti gli utenti e i metodi di accesso con Microsoft Entra impostazioni predefinite di sicurezza Benefit: questa opzione consente di applicare facilmente e rapidamente mFA per tutti gli utenti nell'ambiente con criteri rigorosi per:

• Mettere alla prova gli account amministrativi e i meccanismi di accesso amministrativo.
• Richiedere una richiesta di autenticazione a più fattori tramite Microsoft Authenticator per tutti gli utenti
• Bloccare i protocolli di autenticazione legacy

Questo metodo è disponibile per tutti i livelli di licenza, ma non può essere combinato con criteri di accesso condizionale esistenti. Altre informazioni sono disponibili in Microsoft Entra Impostazioni predefinite per la sicurezza

Opzione 2: abilitare l'autenticazione a più fattori modificando lo stato utente.
Vantaggio questo è il metodo tradizionale per richiedere la verifica in due passaggi. Funziona con Microsoft Entra l'autenticazione a più fattori nel cloud e Azure server di autenticazione a più fattori. Con questo metodo gli utenti devono eseguire la verifica in due passaggi ogni volta che eseguono l'accesso e viene eseguito l'override dei criteri di accesso condizionale.

Per determinare dove deve essere abilitata l'autenticazione a più fattori, vedere Quale versione di Microsoft Entra di autenticazione a più fattori è adatta all'organizzazione?

Opzione 3: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale. Vantaggio: questa opzione consente di richiedere la verifica in due passaggi in determinate condizioni usando l'accesso condizionale. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti. L'abilitazione di un criterio di accesso condizionale funziona solo per Microsoft Entra l'autenticazione a più fattori nel cloud ed è una funzionalità premium di Microsoft Entra ID. Per altre informazioni su questo metodo, vedere Deploy cloud-based Microsoft Entra multifactor authentication.

Opzione 4: abilitare l'autenticazione a più fattori con criteri di accesso condizionale valutando i criteri di accesso condizionale basati sul rischio.
Vantaggio: questa opzione consente di:

• Individuare le potenziali vulnerabilità che influenzano le identità dell'organizzazione.
• Configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità dell'organizzazione.
• Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.

Questo metodo usa la valutazione del rischio Microsoft Entra ID Protection per determinare se è necessaria la verifica in due passaggi in base al rischio utente e di accesso per tutte le applicazioni cloud. Questo metodo richiede la licenza Microsoft Entra ID P2. Per altre informazioni su questo metodo, vedere Microsoft Entra ID Protection.

Le organizzazioni che non aggiungono livelli supplementari di protezione delle identità, come la verifica in due passaggi, sono più vulnerabili agli attacchi con furto di credenziali. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.

Gestire e monitorare le password utente

La tabella seguente elenca alcune procedure consigliate relative alla gestione delle password utente:

• Ensure si dispone del livello appropriato di protezione delle password nel cloud.: seguire le indicazioni riportate in Microsoft Password Guidance, che ha come ambito gli utenti delle piattaforme di gestione delle identità Microsoft (Microsoft Entra ID, Active Directory e account Microsoft).

• Monitora le azioni sospette correlate agli account utente.: Monitora gli utenti a rischio e gli accessi rischiosi usando i report di sicurezza di Microsoft Entra.

• Rilevare e correggere automaticamente le password ad alto rischio.: Microsoft Entra ID Protection è una funzionalità dell'edizione Microsoft Entra ID P2 che consente di:

• Rilevare le potenziali vulnerabilità per le identità dell'organizzazione

• Configurare risposte automatizzate alle azioni sospette rilevate correlate alle identità dell'organizzazione

• Esaminare gli eventi imprevisti sospetti e intraprendere le azioni appropriate per risolverli

Ricevere notifiche sugli eventi imprevisti da Microsoft

Assicurarsi che il team addetto alle operazioni di sicurezza riceva Azure notifiche di eventi imprevisti da Microsoft. Una notifica degli eventi imprevisti consente al team di sicurezza di sapere che sono state compromesse Azure risorse in modo che possano rispondere rapidamente e correggere i potenziali rischi per la sicurezza.

Nel portale di registrazione Azure è possibile assicurarsi che le informazioni di contatto dell'amministratore includano i dettagli che notificano le operazioni di sicurezza. Le informazioni di contatto sono un indirizzo di posta elettronica e un numero di telefono.

Organizzare le sottoscrizioni Azure in gruppi di gestione

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. Gruppi di gestione di Azure forniscono un livello di ambito superiore agli abbonamenti. Le sottoscrizioni vengono organizzate in contenitori denominati gruppi di gestione e le condizioni di governance vengono applicate ai gruppi di gestione. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni in una directory. A ogni directory viene assegnato un gruppo di gestione principale denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Il gruppo di gestione radice consente l'applicazione di criteri globali e assegnazioni di ruoli di Azure a livello di directory.

Ecco alcune procedure consigliate per l'uso dei gruppi di gestione:

• Ensure che le nuove sottoscrizioni applichino elementi di governance come criteri e autorizzazioni man mano che vengono aggiunti.: usare il gruppo di gestione radice per assegnare elementi di sicurezza a livello aziendale applicabili a tutti gli asset Azure. Criteri e autorizzazioni sono esempi di elementi.

• Allineare i livelli principali dei gruppi di gestione con la strategia di segmentazione per fornire un punto per il controllo e la coerenza dei criteri all'interno di ogni segmento. Creare un singolo gruppo di gestione per ogni segmento nel gruppo di gestione radice. Non creare altri gruppi di gestione nel gruppo radice.

• Limitare la profondità del gruppo di gestione per evitare confusione che ostacola le operazioni e la sicurezza. Limitare la gerarchia a tre livelli, inclusa la radice.

• Selezionare attentamente gli elementi da applicare all'intera azienda con il gruppo di gestione radice. Assicurarsi che gli elementi del gruppo di gestione radice abbiano una chiara necessità di essere applicati a ogni risorsa e che abbiano un impatto basso.

Ecco alcuni candidati appropriati:

• Requisiti normativi che hanno un evidente impatto aziendale, ad esempio, restrizioni correlate alla sovranità dei dati

• Requisiti con un potenziale effetto negativo quasi nullo sulle operazioni, come criteri con effetto di audit o assegnazioni di autorizzazioni di Azure RBAC che sono state esaminate attentamente.

• Pianificare e testare tutte le modifiche a livello aziendale nel gruppo di gestione radice prima di applicarle (criteri, Azure modello di controllo degli accessi in base al ruolo e così via).: le modifiche nel gruppo di gestione radice possono influire su ogni risorsa in Azure. Sebbene forniscano un modo efficace per garantire la coerenza all'interno dell'azienda, gli errori o l'utilizzo errato possono influire negativamente sulle operazioni di produzione. Testare tutte le modifiche apportate al gruppo di gestione radice in un ambiente di test o in un progetto pilota di produzione.

Semplificare la creazione degli ambienti con i progetti

Il servizio Azure Blueprints consente agli architetti cloud e ai gruppi centrali di information technology di definire un set ripetibile di risorse Azure che implementa e rispetta gli standard, i modelli e i requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e gestire rapidamente nuovi ambienti con un set di componenti predefiniti e la certezza che stanno creando tali ambienti entro la conformità dell'organizzazione.

Monitorare i servizi di archiviazione per rilevare cambiamenti inattesi nel comportamento

La diagnosi e la risoluzione dei problemi in un'applicazione distribuita ospitata in un ambiente cloud possono essere più complesse di quanto lo siano in ambienti tradizionali. Le applicazioni possono essere distribuite in un'infrastruttura PaaS o IaaS, in locale, su un dispositivo mobile o in una combinazione di questi tipi di ambienti. Il traffico di rete dell'applicazione può passare su reti pubbliche e private e l'applicazione può usare più tecnologie di archiviazione.

È consigliabile monitorare continuamente i servizi di archiviazione usati dall'applicazione per individuare eventuali cambiamenti inattesi nel comportamento, ad esempio tempi di risposta più lunghi. Usare la registrazione per raccogliere dati più dettagliati e analizzare un problema in modo approfondito. Le informazioni di diagnostica che si ottengono con il monitoraggio e la registrazione aiutano a determinare la causa radice del problema incontrato dall'applicazione. È possibile quindi identificare il problema e determinare le misure appropriate per correggerlo.

Azure Storage Analytics esegue la registrazione e fornisce i dati delle metriche per un account di archiviazione Azure. È consigliabile usare questi dati per tenere traccia delle richieste, analizzare le tendenze di utilizzo e diagnosticare i problemi relativi al proprio account di archiviazione.

Prevenire le minacce, rilevarle e rispondere

Microsoft Defender for Cloud consente di prevenire, rilevare e rispondere alle minacce offrendo maggiore visibilità (e controllo) sulla sicurezza delle risorse Azure. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri nelle sottoscrizioni Azure, consente di rilevare le minacce che potrebbero altrimenti non essere rilevate e di usare diverse soluzioni di sicurezza.

Il livello Gratuito di Defender for Cloud offre una sicurezza limitata per le risorse in Azure e risorse abilitate per Arc all'esterno di Azure. Le funzionalità di sicurezza avanzata estendono queste funzionalità per includere gestione di minacce e vulnerabilità, nonché la creazione di report sulla conformità alle normative. I piani di Defender per il cloud consentono di individuare e risolvere le vulnerabilità di sicurezza, di applicare i controlli su applicazioni e accessi per bloccare le attività dannose, di rilevare le minacce usando funzioni di analisi e di intelligence e di rispondere rapidamente in caso di attacco. È possibile provare Defender per il cloud Standard senza costi per i primi 30 giorni. È consigliabile abilita funzionalità di sicurezza avanzate nelle sottoscrizioni Azure in Defender for Cloud.

Usare Defender for Cloud per ottenere una visualizzazione centrale dello stato di sicurezza di tutte le risorse nei data center, Azure e altri cloud. A colpo d'occhio, verificare che i controlli di sicurezza appropriati siano in atto e configurati correttamente e identificare rapidamente qualsiasi risorsa che richiede attenzione.

Defender for Cloud si integra anche con Microsoft Defender for Endpoint, che offre funzionalità complete di rilevamento e risposta degli endpoint. Con Microsoft Defender for Endpoint integrazione, è possibile individuare anomalie e rilevare vulnerabilità. È anche possibile rilevare e rispondere agli attacchi avanzati negli endpoint server monitorati da Defender per il cloud.

Quasi tutte le organizzazioni aziendali dispongono di un sistema SIEM (Security Information and Event Management) per identificare le minacce emergenti consolidando le informazioni dei log provenienti da diversi dispositivi di raccolta di segnali. I log vengono quindi analizzati da un sistema di analisi dei dati per estrapolare ciò che è "interessante" dalla mole di dati inutili la cui presenza è inevitabile in tutte le soluzioni di raccolta e analisi dei log.

Microsoft Sentinel è una soluzione SIEM (gestione delle informazioni e degli eventi di sicurezza) e SOAR (Orchestrazione della Sicurezza e Risposta Automatica) scalabile e cloud-native. Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce tramite il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta automatizzata alle minacce.

Ecco alcune procedure consigliate per prevenire, rilevare e rispondere alle minacce:

• Increase la velocità e la scalabilità della soluzione SIEM usando un SIEM.: esaminare le funzionalità e le funzionalità di Microsoft Sentinel e confrontarle con le funzionalità di ciò che si usa attualmente in locale. Prendere in considerazione l'adozione di Microsoft Sentinel se soddisfa i requisiti SIEM dell'organizzazione.

• Trova le vulnerabilità di sicurezza più gravi in modo da poter dare priorità all'indagine.: Esamina il tuo punteggio di sicurezza Azure per visualizzare le raccomandazioni risultanti dai criteri e dalle iniziative Azure integrate in Microsoft Defender for Cloud. Queste raccomandazioni consentono di risolvere i principali rischi, ad esempio aggiornamenti della sicurezza, protezione degli endpoint, crittografia, configurazioni di sicurezza, WAF mancante, macchine virtuali connesse a Internet e molti altri ancora.

Il punteggio di sicurezza, basato sui controlli CIS (Center for Internet Security), consente di eseguire il benchmarking della sicurezza Azure dell'organizzazione rispetto alle origini esterne. La convalida esterna consente di convalidare e arricchire la strategia di sicurezza del team.

• Monitorare il comportamento di sicurezza di computer, reti, servizi di archiviazione e dati e applicazioni per individuare e classificare in ordine di priorità potenziali problemi di sicurezza. Seguire le raccomandazioni di sicurezza in Defender for Cloud a partire dagli elementi con priorità più alta.

• Integrare gli avvisi di Defender for Cloud nella soluzione SIEM (Security Information and Event Management). La maggior parte delle organizzazioni con una soluzione SIEM la usa come clearinghouse centrale per gli avvisi di sicurezza che richiedono una risposta analista. Gli eventi elaborati prodotti da Defender for Cloud vengono pubblicati nel registro attività di Azure, uno dei log disponibili tramite Azure Monitor. Azure Monitor offre una pipeline consolidata per il routing dei dati di monitoraggio in uno strumento SIEM. Per istruzioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT. Se usi Microsoft Sentinel, vedi Connect Microsoft Defender for Cloud.

• Integrate Azure log con SIEM.: usare Azure Monitor per raccogliere ed esportare dati. Questa procedura è fondamentale per abilitare l'analisi degli eventi imprevisti di sicurezza e la conservazione dei log online è limitata. Se stai usando Microsoft Sentinel, consulta Connettere le origini dati.

• Accelera i tuoi processi di indagine e ricerca delle minacce e riduci i falsi positivi integrando le funzionalità di Endpoint Detection and Response (EDR) nelle tue indagini sugli attacchi.: Abilita l'integrazione di Microsoft Defender for Endpoint tramite i criteri di sicurezza di Defender for Cloud. È consigliabile usare Microsoft Sentinel per la ricerca di minacce e la risposta agli eventi imprevisti.

Monitoraggio completo della rete basato su scenari

I clienti creano una rete end-to-end in Azure combinando risorse di rete come una rete virtuale, ExpressRoute, gateway applicazione e servizi di bilanciamento del carico. Il monitoraggio è disponibile in ognuna delle risorse di rete.

Azure Network Watcher è un servizio regionale. Usare gli strumenti di diagnostica e visualizzazione per monitorare e diagnosticare le condizioni di rete a livello di scenario, in entrata, in uscita e all'interno di Azure.

Di seguito vengono descritte le procedure consigliate per il monitoraggio della rete e gli strumenti disponibili.

• Automate monitoraggio della rete remota con packet capture.: monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali usando Network Watcher. Attivare l'acquisizione dei pacchetti impostando gli avvisi e ottenere l'accesso alle informazioni sulle prestazioni in tempo reale a livello del pacchetto. Quando viene rilevato un problema, è possibile esaminarlo in dettaglio per una diagnosi migliore.

• Ottenere informazioni dettagliate sul traffico di rete usando i log dei flussi. Creare una conoscenza più approfondita dei modelli di traffico di rete usando i log dei flussi dei gruppi di sicurezza di rete. Le informazioni contenute nei log dei flussi aiutano a raccogliere i dati per la conformità, il controllo e il monitoraggio del profilo di sicurezza della rete.

• Diagnosticare i problemi di connettività VPN.: usare Network Watcher per diagnosticare i problemi di connessione e di Gateway VPN più comuni. Non è solo possibile identificare il problema ma si può anche usare i log dettagliati per altre indagini.

Distribuzione sicura tramite strumenti DevOps collaudati

Usare le seguenti procedure consigliate di DevOps per assicurarsi che i team e l'azienda siano produttivi ed efficienti.

• Automatizzare la compilazione e la distribuzione dei servizi.L'infrastruttura come codice è un set di tecniche e procedure che consentono ai professionisti IT di rimuovere il carico di compilazione e gestione quotidiano dell'infrastruttura modulare. Lo scopo è consentire ai professionisti IT di creare e gestire un ambiente server moderno in modo simile a quello usato dagli sviluppatori di software per creare e gestire il codice delle applicazioni.

È possibile usare Azure Resource Manager per effettuare il provisioning delle applicazioni usando un modello dichiarativo. In un unico modello, è possibile distribuire più servizi con le relative dipendenze. Lo stesso modello viene usato per distribuire ripetutamente l'applicazione in ogni fase del ciclo di vita dell'applicazione.

• Creare e distribuire automaticamente in app Web Azure o servizi cloud.: è possibile configurare i progetti Azure DevOps per compilazione e distribuzione automatica in Azure app Web o servizi cloud. Azure DevOps distribuisce automaticamente i file binari dopo aver eseguito una compilazione per Azure dopo ogni archiviazione del codice. Il processo di compilazione del pacchetto equivale al comando Package in Visual Studio e i passaggi di pubblicazione sono equivalenti al comando Pubblica in Visual Studio.

• Automate release management.: Azure Pipelines è una soluzione per automatizzare la distribuzione a più fasi e la gestione del processo di rilascio. È possibile creare pipeline gestite di distribuzione continua per rilasciare versioni in modo rapido, semplice e frequente. Con Azure Pipelines è possibile automatizzare il processo di rilascio ed è possibile avere flussi di lavoro di approvazione predefiniti. Sono supportate la distribuzione locale e nel cloud, l'estensione e la personalizzazione in base alle specifiche esigenze.

• Controllare le prestazioni dell'app prima di avviarlo o distribuirlo nell'ambiente di produzione. Eseguire test di carico basati sul cloud per:

• Individuare problemi di prestazioni nell'app.

• Migliorare la qualità della distribuzione.

• Assicurarsi che l'app sia sempre disponibile.

• Assicurarsi che l'app possa gestire il traffico per la prossima campagna di lancio o di marketing.

Apache JMeter è uno strumento open source gratuito e diffuso con un forte supporto della community.

• Monitor application performance.: Azure Application Insights è un servizio APM (Extensible Application Performance Management) per sviluppatori Web su più piattaforme. È possibile usare Application Insights per monitorare l'applicazione Web mentre è in esecuzione. Il servizio rileva automaticamente le anomalie nelle prestazioni e include strumenti di analisi che consentono di diagnosticare i problemi e di conoscere come viene effettivamente usata l'app dagli utenti. È progettato per favorire un costante miglioramento delle prestazioni e dell'usabilità.

Mitigare e proteggere dagli attacchi Distributed Denial of Service (DDoS)

Il Distributed Denial of Service (DDoS) è un tipo di attacco che tenta di esaurire le risorse dell'applicazione. L'obiettivo è compromettere la disponibilità e la capacità dell'applicazione di gestire richieste legittime. Gli attacchi stanno diventando più sofisticati con dimensioni e impatto maggiori. Possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

La progettazione e la creazione per la resilienza agli attacchi Distributed Denial of Service (DDoS) richiedono pianificazione e progettazione per un'ampia gamma di modalità di errore. Di seguito sono riportate le procedure consigliate per la creazione di servizi resilienti DDoS in Azure.

• Assicurarsi che la sicurezza sia una priorità durante l'intero ciclo di vita di un'applicazione, dalle fasi di progettazione e implementazione alla fase di distribuzione e a quella operativa. Le applicazioni possono contenere bug che consentono a un volume relativamente basso di richieste di usare una quantità elevata di risorse, provocando un'interruzione del servizio.: per proteggere un servizio in esecuzione in Microsoft Azure, è necessario avere una buona conoscenza dell'architettura dell'applicazione e concentrarsi sui pilastri five della qualità del software. I clienti devono conoscere i volumi di traffico tipici, il modello di connettività tra l'applicazione e le altre applicazioni e gli endpoint di servizio esposti a Internet pubblico.

Garantire che un'applicazione sia abbastanza resiliente da riuscire a gestire un attacco Denial of Service destinato all'applicazione stessa è di fondamentale importanza. La sicurezza e la privacy sono integrate nella piattaforma Azure, a partire da Security Development Lifecycle (SDL). SDL risolve la sicurezza in ogni fase di sviluppo e garantisce che Azure venga continuamente aggiornato per renderlo ancora più sicuro.

• progettare le applicazioni con scalabilità orizzontale per soddisfare la richiesta di un carico amplificato, in particolare in caso di attacco DDoS. Se l'applicazione dipende da una singola istanza di un servizio, crea un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.: per Azure App Service selezionare un piano di servizio App che offre più istanze.

Per Azure Cloud Services, configura ognuno dei tuoi ruoli per utilizzare istanze multiple.

Per Azure Virtual Machines, assicurarsi che l'architettura della macchina virtuale includa più macchine virtuali e che ogni macchina virtuale sia inclusa in un set di disponibilità availability. È consigliabile usare Virtual Machine Scale Sets per le funzionalità di scalabilità automatica.

• La disposizione delle difese su più livelli in un'applicazione riduce le probabilità di riuscita degli attacchi. Implementare progettazioni sicure per le applicazioni usando le funzionalità predefinite della piattaforma Azure.: il rischio di attacco aumenta con le dimensioni (superficie di attacco) dell'applicazione. È possibile ridurre la superficie esposta impiegando un elenco di approvazione per chiudere lo spazio indirizzi IP esposto e le porte in ascolto non necessarie nei servizi di bilanciamento del carico (Azure Load Balancer e Azure Application Gateway).

I gruppi di sicurezza di rete rappresentano un altro modo per ridurre la superficie di attacco. È possibile usare tag di servizio e gruppi di sicurezza dell'applicazione per ridurre la complessità per la creazione della regola di sicurezza e configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione.

È consigliabile distribuire i servizi di Azure in una rete virtuale quando possibile. Ciò consente alle risorse del servizio di comunicare attraverso indirizzi IP privati. Il traffico di servizio di Azure da una rete virtuale utilizza indirizzi IP pubblici come indirizzi IP di origine, per impostazione predefinita.

L'uso di endpoint service commuta il traffico del servizio per usare gli indirizzi IP privati della rete virtuale come indirizzi IP di origine quando accedono al servizio Azure da una rete virtuale.

Spesso le risorse locali dei clienti vengono attaccate insieme alle risorse in Azure. Se si connette un ambiente locale a Azure, ridurre al minimo l'esposizione delle risorse locali a Internet pubblico.

Azure dispone di due offerte DDoS service che forniscono protezione dagli attacchi di rete:

• La protezione di base è integrata in Azure per impostazione predefinita senza costi aggiuntivi. La scalabilità e la capacità della rete Azure distribuita a livello globale fornisce la difesa contro gli attacchi comuni a livello di rete tramite il monitoraggio del traffico always-on e la mitigazione in tempo reale. Basic non richiede modifiche alla configurazione utente o all'applicazione e consente di proteggere tutti i servizi Azure, inclusi i servizi PaaS come Azure DNS.
• La protezione standard offre funzionalità avanzate di attenuazione DDoS contro gli attacchi alla rete. Viene ottimizzato automaticamente per proteggere le risorse di Azure specifiche. La protezione è semplice da abilitare durante la creazione di reti virtuali. Può essere abilitata anche dopo la creazione e non richiede alcuna modifica delle applicazioni o delle risorse.

Abilitare Azure Policy

Azure Policy è un servizio in Azure usato per creare, assegnare e gestire i criteri. Questi criteri applicano regole ed effetti alle risorse, in modo che le risorse rimangano conformi ai contratti di servizio e agli standard aziendali. Azure Policy soddisfa questa esigenza valutando le risorse per la mancata conformità ai criteri assegnati.

Abilitare Azure Policy per monitorare e applicare i criteri scritti dell'organizzazione. Questo garantirà la conformità con i requisiti di sicurezza normativi o aziendali tramite la gestione centralizzata dei criteri di sicurezza nei carichi di lavoro cloud ibridi. Leggere come creare e gestire i criteri per applicare la conformità. Per una panoramica degli elementi di un criterio, consultare la struttura della definizione di Azure Policy.

• Utilizza Azure Policy per applicare le raccomandazioni del Microsoft Cloud Security Benchmark v2 (anteprima) in tutto il tuo ambiente.: Il Microsoft Cloud Security Benchmark v2 (anteprima) fornisce pratiche di sicurezza complete con una copertura delle policy di Azure espansa (oltre 420 misurazioni basate su criteri). Assegnare i criteri di Microsoft Cloud Security Benchmark v2 (anteprima) alle sottoscrizioni e ai gruppi di gestione per controllare e applicare continuamente configurazioni sicure. Il benchmark include nuovi controlli per la sicurezza dell'intelligenza artificiale, il confidential computing e il rilevamento avanzato delle minacce. Usare il dashboard di conformità alle normative di Defender for Cloud per tenere traccia della conformità e identificare i gap di sicurezza che richiedono la correzione.

Ecco alcune procedure consigliate per la sicurezza da seguire dopo aver adottato Azure Policy:

• Le politiche consentono diversi tipi di effetti. È possibile leggerle in Struttura di definizione di Criteri di Azure. Le operazioni aziendali possono essere influenzate negativamente dall'effetto di negazione e dall'effetto di correzione , quindi iniziare con l'effetto di controllo per limitare il rischio di impatto negativo dai criteri. Avviare le distribuzioni dei criteri in modalità di controllo e quindi procedere successivamente per negare o correggere. Testare ed esaminare i risultati dell'effetto di controllo prima di passare al rifiuto o alla correzione.

  Per altre informazioni, vedere Creare e gestire i criteri per applicare la conformità.

• Identificare i ruoli responsabili del monitoraggio delle violazioni dei criteri e garantire che l'azione di correzione corretta venga eseguita rapidamente.: avere il monitoraggio del ruolo assegnato la conformità tramite il portale Azure o tramite la riga comando.

• Azure Policy è una rappresentazione tecnica dei criteri scritti di un'organizzazione. Eseguire il mapping di tutte le definizioni di Azure Policy ai criteri dell'organizzazione per ridurre la confusione e aumentare la coerenza.: Mappatura dei documenti nella documentazione dell'organizzazione o nella definizione di Azure Policy stessa aggiungendo un riferimento alla policy dell'organizzazione nella descrizione della definizione policy o initiative.