Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il modello Zero Trust presuppone la violazione e verifica ogni richiesta come se provenga da una rete non controllata. I servizi di sicurezza di rete di Azure svolgono un ruolo fondamentale nell'applicazione dei principi Zero Trust controllando, filtrando e registrando il traffico nell'ambiente cloud.
I consigli seguenti consentono di valutare e rafforzare il comportamento di sicurezza della rete di Azure. Ogni raccomandazione è collegata a una guida dettagliata che descrive il controllo di sicurezza, il livello di rischio e i passaggi di correzione.
Suggerimento
Alcune organizzazioni potrebbero accettare queste raccomandazioni esattamente come scritte, mentre altre potrebbero scegliere di apportare modifiche in base alle proprie esigenze aziendali. È consigliabile implementare tutti i controlli seguenti, se applicabile. Questi modelli e procedure consentono di fornire una base per un ambiente di rete di Azure sicuro. Altri controlli verranno aggiunti a questo documento nel tempo.
Valutazione automatizzata
Il controllo manuale di queste indicazioni rispetto alla configurazione dell'ambiente può richiedere molto tempo ed essere soggetto a errori. La valutazione Zero Trust trasforma questo processo con l'automazione per testare questi elementi di configurazione della sicurezza e altro ancora. Per altre informazioni, vedere Che cos'è la valutazione Zero Trust?
Protezione di Azure dagli attacchi DDoS
Protezione DDoS di Azure protegge le risorse pubbliche dagli attacchi Denial of Service distribuiti. Le raccomandazioni seguenti verificano che la protezione DDoS sia abilitata e monitorata correttamente.
Per altre informazioni, vedere Raccomandazioni Zero Trust per Protezione DDoS di Azure.
| Raccomandazione | Livello di rischio | Impatto sugli utenti | Costo di implementazione |
|---|---|---|---|
| Protezione DDoS è abilitata per tutti gli indirizzi IP pubblici nelle reti virtuali | Alto | Low | Low |
| Le metriche sono abilitate per gli indirizzi IP pubblici protetti da DDoS | Medium | Low | Low |
| La registrazione diagnostica è abilitata per gli INDIRIZZI IP pubblici protetti da DDoS | Medium | Low | Low |
Azure Firewall
Firewall di Azure offre la gestione centralizzata delle policy di sicurezza di rete e la registrazione attraverso le tue reti virtuali. I consigli seguenti verificano che le funzionalità di protezione chiave siano attive.
Per altre informazioni, vedere Raccomandazioni zero trust per Firewall di Azure.
| Raccomandazione | Livello di rischio | Impatto sugli utenti | Costo di implementazione |
|---|---|---|---|
| Il traffico in uscita dai carichi di lavoro integrati nella rete virtuale viene instradato tramite Firewall di Azure | Alto | Low | Medium |
| La threat intelligence è abilitata in modalità blocco in Azure Firewall | Alto | Low | Low |
| L'ispezione IDPS è abilitata in modalità di negazione in Azure Firewall | Alto | Low | Low |
| L'ispezione del traffico TLS in uscita è abilitata in Firewall di Azure | Alto | Low | Low |
| La registrazione diagnostica è abilitata in Firewall di Azure | Alto | Low | Low |
WAF del gateway applicativo
Il Web Application Firewall di Azure su Application Gateway protegge le applicazioni Web da exploit e vulnerabilità comuni. Le raccomandazioni seguenti verificano che WAF sia configurato e monitorato correttamente.
Per altre informazioni, vedere Raccomandazioni Zero Trust per WAF del Gateway delle applicazioni.
| Raccomandazione | Livello di rischio | Impatto sugli utenti | Costo di implementazione |
|---|---|---|---|
| Application Gateway WAF è abilitato in modalità di prevenzione | Alto | Low | Low |
| L'ispezione del body della richiesta è abilitata nel WAF del gateway delle applicazioni | Alto | Low | Low |
| Il set di regole predefinito è abilitato nel WAF del gateway applicazione | Alto | Low | Low |
| Il set di regole di protezione bot è abilitato e assegnato nel gateway applicativo WAF | Alto | Low | Low |
| Il set di regole di protezione DDoS HTTP è abilitato nel WAF del gateway delle applicazioni | Alto | Low | Low |
| La limitazione della velocità è abilitata nel WAF dell'Application Gateway | Alto | Low | Medium |
| La sfida JavaScript è abilitata nel Gateway di Applicazione WAF | Medium | Low | Low |
| La registrazione diagnostica è abilitata nel Gateway Applicazione WAF | Alto | Low | Low |
Azure Front Door WAF
Web application firewall di Azure in Frontdoor protegge le applicazioni Web nel perimetro di rete. Le raccomandazioni seguenti verificano che WAF sia configurato e monitorato correttamente.
Per altre informazioni, vedere Raccomandazioni zero trust per Frontdoor di Azure WAF.
| Raccomandazione | Livello di rischio | Impatto sugli utenti | Costo di implementazione |
|---|---|---|---|
| Azure Front Door WAF è abilitato in modalità di prevenzione | Alto | Low | Low |
| L'ispezione del corpo della richiesta è abilitata nel WAF di Azure Front Door | Alto | Low | Low |
| Il set di regole predefinito viene assegnato in Azure Front Door WAF | Alto | Low | Low |
| Il set di regole di protezione dai bot è abilitato e assegnato in Azure Front Door WAF | Alto | Low | Low |
| La limitazione della frequenza è abilitata in Azure Front Door WAF | Alto | Low | Medium |
| La sfida JavaScript è abilitata in Azure Front Door WAF | Medium | Low | Low |
| La sfida CAPTCHA è abilitata in Azure Front Door WAF | Medium | Low | Low |
| La registrazione diagnostica è abilitata in Azure Front Door WAF | Alto | Low | Low |