Condividi tramite

Applicare i principi Zero Trust a una rete hub virtuale in Azure

Riepilogo: per applicare principi Zero Trust a una rete virtuale hub in Azure, è necessario proteggere Firewall di Azure Premium, distribuire Protezione DDoS di Azure Standard, configurare il routing del gateway di rete al firewall e configurare la protezione dalle minacce.

Il modo migliore per distribuire una rete virtuale dell'hub basata su Azure per Zero Trust consiste nell'usare i materiali della zona di destinazione di Azure per distribuire una rete virtuale hub completa delle funzionalità e quindi adattarla alle specifiche aspettative di configurazione.

Questo articolo illustra come eseguire una rete virtuale hub esistente e assicurarsi di essere pronti per una metodologia Zero Trust. Si presuppone che sia stato usato il modulo ALZ-Bicep hubNetworking per distribuire rapidamente una rete virtuale hub o distribuire altre reti virtuali hub con risorse simili. L'uso di un hub di connettività separato connesso agli spoke di lavoro isolati è un modello di riferimento nella rete di sicurezza di Azure e supporta i principi del modello Zero Trust.

Questo articolo descrive come distribuire una rete virtuale hub per Zero Trust eseguendo il mapping dei principi di Zero Trust nei modi seguenti.

Principio zero trust Definizione Incontrato da
Verificare esplicitamente Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. Usare Firewall di Azure con l'ispezione TLS (Transport Layer Security) per verificare i rischi e le minacce in base a tutti i dati disponibili.
Usare l'accesso con privilegi minimi Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. Ogni rete virtuale spoke non ha accesso ad altre reti virtuali spoke, a meno che il traffico non venga instradato attraverso il firewall. Il firewall è impostato su Nega per impostazione predefinita, consentendo solo il traffico consentito dalle regole specificate.
Presunzione di violazione Ridurre al minimo il raggio di attacco e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. In caso di compromissione o violazione di un'applicazione o di un carico di lavoro, la capacità di diffusione è limitata perché il Firewall di Azure esegue l'ispezione del traffico e inoltra solo il traffico consentito. Solo le risorse nello stesso carico di lavoro verrebbero esposte alla violazione nella stessa applicazione.

Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust in un ambiente in Azure. Questo articolo fornisce informazioni per la configurazione di una rete virtuale hub per supportare un carico di lavoro IaaS in una rete virtuale spoke. Per altre informazioni, vedere La panoramica sull'applicazione di principi Zero Trust ad Azure IaaS.

Architettura di riferimento

Il diagramma seguente illustra l'architettura di riferimento. La rete virtuale dell'hub è evidenziata in rosso. Per altre informazioni su questa architettura, vedere La panoramica sull'applicazione di principi Zero Trust ad Azure IaaS.

Diagramma dell'architettura di riferimento per i componenti di una rete virtuale hub con principi Zero Trust applicati.

Per questa architettura di riferimento, è possibile distribuire le risorse nella sottoscrizione di Azure in molti modi. L'architettura di riferimento mostra la raccomandazione di isolare tutte le risorse per la rete virtuale dell'hub all'interno di un gruppo di risorse dedicato. Vengono visualizzate anche le risorse per la rete virtuale spoke per il confronto. Questo modello funziona bene se ai diversi team viene assegnata la responsabilità di queste diverse aree.

Nel diagramma una rete virtuale hub include componenti per supportare l'accesso ad altre app e servizi all'interno dell'ambiente Azure. Tali risorse includono:

  • Firewall di Azure Premium
  • Azure Bastion
  • Gateway VPN
  • Protezione DDOS, che deve essere distribuita anche nelle reti virtuali spoke.

La rete virtuale hub fornisce l'accesso da questi componenti a un'app basata su IaaS ospitata in macchine virtuali in una rete virtuale spoke.

Per indicazioni sull'organizzazione per l'adozione del cloud, vedere Gestire l'allineamento dell'organizzazione in Cloud Adoption Framework.

Le risorse distribuite per la rete virtuale dell'hub sono:

  • Una rete virtuale di Azure
  • Firewall di Azure con criteri del Firewall di Azure e un indirizzo IP pubblico
  • Bastion
  • Gateway VPN con un indirizzo IP pubblico e una tabella di route

Il diagramma seguente illustra i componenti di un gruppo di risorse per una rete virtuale hub in una sottoscrizione di Azure separata dalla sottoscrizione per la rete virtuale spoke. Questo è un modo per organizzare questi elementi all'interno della sottoscrizione. L'organizzazione potrebbe scegliere di organizzarli in modo diverso.

Diagramma dell'architettura logica per l'applicazione di Zero Trust a una rete virtuale dell'hub di Azure che mostra sottoscrizioni, gruppi di risorse e componenti di Azure all'interno di un tenant di Microsoft Entra ID.

Nel diagramma:

  • Le risorse per la rete virtuale hub sono contenute all'interno di un gruppo di risorse dedicato. Se si distribuisce il piano DDoS di Azure come parte delle risorse, è necessario includerlo nel gruppo di risorse.
  • Le risorse all'interno di una rete virtuale spoke sono contenute all'interno di un gruppo di risorse dedicato separato.

A seconda della distribuzione, è anche possibile notare che può essere presente una distribuzione di una matrice per le zone DNS private usate per la risoluzione DNS di Private Link. Questi vengono usati per proteggere le risorse PaaS con endpoint privati, descritti in dettaglio in una sezione futura. Si noti che distribuisce sia un Gateway VPN che un gateway ExpressRoute. Potrebbe non essere necessario entrambi, quindi è possibile rimuovere qualsiasi elemento non sia necessario per lo scenario o disattivarlo durante la distribuzione.

Che cos'è in questo articolo?

Questo articolo fornisce consigli per proteggere i componenti di una rete virtuale hub per i principi Zero Trust. Nella tabella seguente vengono descritte le raccomandazioni per la protezione di questa architettura.

Passaggio Attività Principi zero trust applicati
1 Mettere in sicurezza Azure Firewall Premium. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
2 Distribuire Protezione DDoS di Azure Standard. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
3 Configurare il routing del gateway di rete verso il firewall. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
4 Configurare la protezione dalle minacce. Presunzione di violazione

Come parte della distribuzione, è necessario effettuare selezioni specifiche che non sono le impostazioni predefinite per le distribuzioni automatizzate a causa dei costi aggiuntivi. Prima della distribuzione, è necessario esaminare i costi.

Il funzionamento dell'hub di connettività distribuito fornisce comunque un valore significativo per l'isolamento e l'ispezione. Se l'organizzazione non è pronta a sostenere i costi di queste funzionalità avanzate, è possibile distribuire un hub di funzionalità ridotto e apportare queste modifiche in un secondo momento.

Passaggio 1: Proteggere Firewall di Azure Premium

Firewall di Azure Premium svolge un ruolo fondamentale per proteggere l'infrastruttura di Azure per Zero Trust.

Come parte della distribuzione, usare Firewall di Azure Premium. Ciò richiede la distribuzione dei criteri di gestione generati come criterio Premium. La modifica a Firewall di Azure Premium comporta la ricreazione del firewall e spesso anche della politica. Di conseguenza, iniziare con Firewall di Azure, se possibile, o essere preparati per le attività di ridistribuzione per sostituire il firewall esistente.

Perché Firewall di Azure Premium?

Firewall di Azure Premium offre funzionalità avanzate per l'ispezione del traffico. Le opzioni di ispezione TLS più significative sono le seguenti:

  • Ispezione TLS in uscita protegge dal traffico dannoso inviato da un client interno verso Internet. Ciò consente di identificare quando un client è stato violato e se sta tentando di inviare dati all'esterno della rete o stabilire una connessione a un computer remoto.
  • Ispezione TLS East-West protegge contro traffico dannoso inviato internamente da Azure ad altre parti di Azure o alle reti non-Azure. Ciò consente di identificare i tentativi di violazione per espandere e diffondere il raggio dell'esplosione.
  • L'ispezione TLS in ingresso protegge le risorse in Azure da richieste dannose che arrivano dall'esterno della rete di Azure. Azure Application Gateway con Web Application Firewall fornisce questa protezione.

È consigliabile usare l'ispezione TLS in ingresso per le risorse, quando possibile. Azure Application Gateway fornisce solo protezione per il traffico HTTP e HTTPS. Non può essere usato per alcuni scenari, ad esempio quelli che usano traffico SQL o RDP. Altri servizi hanno spesso opzioni di protezione dalle minacce personalizzate che possono essere usate per fornire controlli di verifica espliciti per tali servizi. È possibile esaminare le baseline di sicurezza per la panoramica di Azure per comprendere le opzioni di protezione dalle minacce per questi servizi.

Gateway Applicativo di Azure non è consigliato per la rete virtuale dell'hub. Deve invece risiedere in una rete virtuale spoke o in una rete virtuale dedicata. Per ulteriori informazioni, vedere Applicare principi Zero Trust alla rete virtuale spoke in Azure per indicazioni sulla rete virtuale spoke o sulla rete zero-trust per le applicazioni web.

Questi scenari hanno considerazioni specifiche sul certificato digitale. Per altre informazioni, vedere Certificati di Firewall di Azure Premium.

Senza ispezione TLS, Firewall di Azure non ha visibilità sui dati trasmessi nel tunnel TLS crittografato e quindi è meno sicuro.

Ad esempio, Azure Virtual Desktop non supporta la terminazione SSL. È necessario esaminare i carichi di lavoro specifici per comprendere come fornire l'ispezione TLS.

Oltre alle regole di autorizzazione/negazione definite dal cliente, il Firewall di Azure è ancora in grado di applicare il filtro basato sull'intelligence sulle minacce. Il filtro basato sull'intelligence sulle minacce usa indirizzi IP e domini noti non valido per identificare il traffico che rappresenta un rischio. Questo filtro si verifica prima di qualsiasi altra regola, ovvero anche se l'accesso è stato consentito dalle regole definite, Firewall di Azure può arrestare il traffico.

Firewall di Azure Premium offre anche opzioni avanzate per il filtro URL e il filtro delle categorie Web, consentendo un'ottimizzazione più approfondita dei ruoli.

È possibile impostare l'intelligence sulle minacce per notificarti con un avviso quando si verifica questo traffico, ma consentirlo. Tuttavia, per "Zero Trust", impostarlo su "Nega".

Configurare Firewall di Azure Premium per Zero Trust

Per configurare Firewall di Azure Premium in una configurazione Zero Trust, apportare le modifiche seguenti.

  1. Abilitare l'intelligence sulle minacce in modalità avviso e rifiuto

    1. Passare a Criteri del Firewall e selezionare Intelligence sulle Minacce.
    2. In Modalità intelligence delle minacce, selezionare Avviso e nega.
    3. Seleziona Salva.

    Screenshot dell'abilitazione dell'intelligence per le minacce e della modalità allerta e nega.

  2. Abilitare l'ispezione TLS:

    1. Preparare un certificato da archiviare in un Key Vault o generare automaticamente un certificato con un'identità gestita. È possibile esaminare queste opzioni per i certificati Premium del Firewall di Azure per selezionare l'opzione più adatta al proprio scenario.
    2. Navigare a Firewall Policy e selezionare TLS Inspection.
    3. Selezionare Enabled.
    4. Selezionare una Managed Identity per generare i certificati oppure selezionare l'Azure Key Vault e il certificato.
    5. Quindi selezionare Salva.

    Screenshot dell'abilitazione dell'ispezione TLS.

  3. Abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS):

    1. Passare a Criteri firewall e selezionare IDPS.
    2. Selezionare Avviso e nega.
    3. Quindi seleziona Applica.

    Screenshot dell'abilitazione di IDPS.

  4. Sarà quindi necessario creare una regola dell'applicazione per il traffico.

    1. In Criteri firewall, passare a Regole delle applicazioni.
    2. Selezionare Aggiungi una raccolta regole.
    3. Creare una regola dell'applicazione con l'origine della subnet di Application Gateway, e una destinazione del nome di dominio dell'app web che viene protetta.
    4. Assicurati di abilitare l'ispezione TLS.

    Screenshot che mostra i passaggi per la creazione di una regola dell'applicazione.

Configurazione aggiuntiva

Dopo aver configurato Firewall di Azure Premium, è ora possibile eseguire la configurazione seguente:

  • Configurare i gateway applicazione per instradare il traffico al Firewall di Azure assegnando le tabelle di instradamento appropriate e seguendo queste indicazioni.
  • Creare avvisi per gli eventi e le metriche del firewall seguendo queste istruzioni.
  • Distribuire il Workbook Firewall di Azure per visualizzare gli eventi.
  • Configurare il filtro per URL e categorie Web, se necessario. Poiché Firewall di Azure nega per impostazione predefinita, questa configurazione è necessaria solo se il Firewall di Azure deve concedere l'accesso a Internet in uscita su larga scala. È possibile usarlo come verifica aggiuntiva per determinare se le connessioni devono essere consentite.

Passaggio 2: Distribuire Protezione DDoS di Azure Standard

Come parte della distribuzione, è necessario distribuire un criterio standard di protezione DDoS di Azure. In questo modo viene aumentata la protezione Zero Trust fornita nella piattaforma Azure.

Poiché è possibile distribuire i criteri creati nelle risorse esistenti, è possibile aggiungere questa protezione dopo la distribuzione iniziale senza richiedere la ridistribuzione delle risorse.

Perché Azure Standard Protezione DDoS?

Protezione DDoS di Azure Standard offre maggiori vantaggi rispetto alla protezione DDoS predefinita. Per Zero Trust, è possibile avere:

  • Accesso a report di mitigazione, log di flusso e metriche.
  • Criteri di mitigazione basati su applicazioni.
  • Accesso al supporto rapido di risposta DDoS se si verifica un attacco DDoS.

Sebbene il rilevamento automatico e la mitigazione automatica siano entrambi parte di Protezione DDoS Basic abilitata per impostazione predefinita, queste funzionalità sono disponibili solo con DDoS Standard.

Configurare Protezione DDoS di Azure Standard

Poiché non esistono configurazioni specifiche di Zero Trust per Protezione DDoS Standard, è possibile seguire le guide specifiche delle risorse per questa soluzione:

Nella versione corrente di Protezione DDoS di Azure è necessario applicare protezione DDoS di Azure per ogni rete virtuale. Vedere istruzioni aggiuntive in Avvio rapido per DDoS.

Inoltre, proteggere gli indirizzi IP pubblici seguenti:

  • Indirizzi IP pubblici di Azure Firewall
  • Indirizzi IP pubblici di Azure Bastion
  • Indirizzi IP pubblici del gateway di rete di Azure
  • Gateway applicazione indirizzi IP pubblici

Passaggio 3: Configurare il routing del gateway di rete al firewall

Dopo la distribuzione, sarà necessario configurare le tabelle di route in varie subnet per assicurarsi che il traffico tra reti virtuali spoke e le reti locali venga controllato dal Firewall di Azure. È possibile eseguire questa attività in un ambiente esistente senza un requisito di ridistribuzione, ma è necessario creare le regole del firewall necessarie per consentire l'accesso.

Se si configura un solo lato, ovvero solo le subnet spoke o solo le subnet del gateway, si verifica un routing asincrono che impedisce alle connessioni di funzionare.

Perché instradare il traffico del gateway di rete al firewall?

Un elemento chiave di Zero Trust consiste nel non presupporre che solo perché un elemento si trova nell'ambiente in uso, che deve avere accesso ad altre risorse nell'ambiente. Una configurazione predefinita consente spesso il routing tra le risorse in Azure alle reti locali, controllate solo dai gruppi di sicurezza di rete.

Instradando il traffico al firewall, si aumenta il livello di ispezione e si aumenta la sicurezza dell'ambiente. Ti viene anche visualizzato un avviso per attività sospette e puoi intervenire.

Configurare il routing del gateway

Esistono due modi principali per assicurarsi che il traffico del gateway venga instradato al firewall di Azure:

  • Distribuire il gateway di rete di Azure (per le connessioni VPN o ExpressRoute) in una rete virtuale dedicata (spesso denominata Transit o Gateway VNet), eseguirne il peering alla VNet dell'hub e quindi creare una regola di routing generale che copra il routing degli spazi di indirizzi di rete di Azure previsti verso il firewall.
  • Distribuire il gateway di rete di Azure nella rete virtuale dell'hub, configurare il routing nella subnet del gateway e quindi configurare il routing nelle subnet della rete virtuale spoke.

Questa guida descrive in dettaglio la seconda opzione perché è più compatibile con l'architettura di riferimento.

Nota

Azure Rete virtuale Manager è un servizio che semplifica questo processo. Quando questo servizio è disponibile a livello generale, viene usato per gestire il routing.

Configurare il routing della subnet del gateway

Per configurare la tabella di route subnet del gateway per inoltrare il traffico interno al Firewall di Azure, creare e configurare una nuova tabella di route:

  1. Passare a Crea una tabella di routing nel portale di Microsoft Azure.

  2. Inserire la tabella di route in un gruppo di risorse, selezionare un'area e specificare un nome.

  3. Selezionare Rivedi e crea e quindi Crea.

    Screenshot della creazione di una tabella di route.

  4. Passare alla nuova tabella di route e selezionare Route.

    Screenshot della selezione di una tabella di instradamento.

  5. Seleziona Aggiungi e poi aggiungi una rotta a uno degli spoke VNet:

    1. In Nome route, specificare il nome del campo route.
    2. Selezionare Indirizzi IP nel menu a discesa destinazione del prefisso dell'indirizzo.
    3. Specificare lo spazio degli indirizzi della spoke VNet nel campo Indirizzi IP di destinazione/intervalli CIDR.
    4. Selezionare Appliance virtuale nella casella a discesa del Tipo hop successivo.
    5. Specificare l'indirizzo IP privato del Firewall di Azure nel campo Indirizzo hop successivo.
    6. Selezionare Aggiungi.

Associare la tabella di route alla subnet del gateway

  1. Vai a Subnets e seleziona Associa.
  2. Selezionare l'Hub VNet nell'elenco a discesa Rete virtuale.
  3. Selezionare "GatewaySubnet" nel menu a tendina Subnet.
  4. Seleziona OK.

Ecco un esempio.

Screenshot dell'associazione delle subnet.

Il gateway inoltra ora il traffico destinato alle reti virtuali spoke alla Firewall di Azure.

Configurare il routing della subnet spoke

Questo processo presuppone che sia già presente una tabella di route collegata alle subnet della rete virtuale spoke, con una route predefinita per inoltrare il traffico al Firewall di Azure. Questa operazione viene spesso eseguita da una regola che inoltra il traffico per l'intervallo CIDR 0.0.0.0/0, spesso chiamato percorso quad-zero.

Ecco un esempio.

Screenshot della configurazione del routing della subnet spoke per il traffico di percorso predefinito.

Questo processo disabilita la propagazione delle route dal gateway, che consente alla route predefinita di far passare il traffico destinato alle reti on-premises.

Nota

Le risorse, come i gateway delle applicazioni, che richiedono l'accesso a Internet per funzionare non devono ricevere questa tabella di route. Devono avere una propria tabella di route per consentire le funzioni necessarie, ad esempio quelle descritte nell'articolo Rete zero-trust per le applicazioni Web con Firewall di Azure e gateway applicazione.

Per configurare il routing di subnet spoke:

  1. Passare alla tabella di route associata alla subnet e selezionare Configurazione.
  2. Per Propagare le rotte del gateway, selezionare No.
  3. Seleziona Salva.

Screenshot dell'impostazione Propaga route del gateway su No.

Ora la tua rotta predefinita instrada il traffico destinato al gateway al firewall di Azure.

Passaggio 4: Configurare la protezione dalle minacce

Microsoft Defender per il cloud può proteggere la rete virtuale dell'hub basata su Azure, proprio come altre risorse dall'ambiente aziendale IT in esecuzione in Azure o in locale.

Microsoft Defender per il cloud è un cloud security posture management (CSPM) e CWP (Cloud Workload Protection) che offre un sistema di punteggio sicuro per aiutare l'azienda a creare un ambiente IT con un comportamento di sicurezza migliore. Include anche funzionalità per proteggere l'ambiente di rete dalle minacce.

Questo articolo non illustra in dettaglio Microsoft Defender per il cloud. È tuttavia importante comprendere che Microsoft Defender per il Cloud funziona sulla base delle politiche di Azure e dei log che vengono inseriti in un'area di lavoro Log Analytics.

I criteri di Azure vengono scritti in JavaScript Object Notation (JSON) per contenere analisi diverse delle proprietà delle risorse di Azure, inclusi i servizi di rete e le risorse. Detto questo, è facile per Microsoft Defender for Cloud controllare una proprietà all'interno di una risorsa di rete e fornire una raccomandazione al tuo abbonamento riguardo al fatto se sei protetto oppure esposto a una minaccia.

Come controllare tutte le raccomandazioni di rete disponibili tramite Microsoft Defender per il cloud

Per visualizzare tutti i criteri di Azure che forniscono raccomandazioni di rete usate da Microsoft Defender per il cloud:

Esempio di screenshot dei criteri consigliati di Azure in Microsoft Defender per il Cloud.

  1. Aprire Microsoft Defender per il cloud selezionando l'icona Microsoft Defender per il cloud nel menu a sinistra.

  2. Selezionare Impostazioni ambiente.

  3. Selezionare Criteri di sicurezza.

  4. Se selezioni il valore predefinito nel Centro Sicurezza di Azure (ASC), puoi esaminare tutte le politiche disponibili, comprese le politiche che valutano le risorse di rete.

  5. Sono inoltre disponibili risorse di rete valutate da altre conformità alle normative, tra cui PCI, ISO e il benchmark della sicurezza cloud Microsoft. È possibile abilitarli e tenere traccia delle raccomandazioni di rete.

Raccomandazioni di rete

Seguire questa procedura per visualizzare alcune raccomandazioni di rete, in base al benchmark di sicurezza cloud Microsoft:

Screenshot dell'esempio di raccomandazioni di rete in Microsoft Defender per il cloud.

  1. Aprire Microsoft Defender per il cloud.

  2. Selezionare Conformità alle normative.

  3. Selezionare Microsoft Cloud Security Benchmark.

  4. Espandere NS. Network Security per esaminare la misura di controllo della rete consigliata.

È importante comprendere che Microsoft Defender per il cloud fornisce altre raccomandazioni di rete per diverse risorse di Azure, ad esempio macchine virtuali e archiviazione. È possibile esaminare tali raccomandazioni nel menu a sinistra, in Raccomandazioni.

Nel menu a sinistra del portale di Microsoft Defender per il cloud selezionare Avvisi di sicurezza per esaminare gli avvisi in base alle risorse di rete, in modo da evitare alcuni tipi di minacce. Questi avvisi vengono generati automaticamente da Microsoft Defender per il cloud in base ai log inseriti nell'area di lavoro Log Analytics e monitorati da Microsoft Defender per il cloud.

Mapping e protezione avanzata dell'ambiente di rete di Azure tramite Microsoft Defender per il cloud

È anche possibile controllare le opzioni per ottenere un comportamento di sicurezza migliore grazie alla protezione avanzata dell'ambiente di rete in modo semplice eseguendo il mapping dell'ambiente di rete per una migliore comprensione della topologia di rete. Queste raccomandazioni vengono eseguite tramite l'opzione Protezione del carico di lavoro nel menu a sinistra, come illustrato qui.

Screenshot di un esempio di mappatura del networking di Azure da Microsoft Defender for Cloud.

Gestione dei criteri di Firewall di Azure tramite Microsoft Defender per il cloud

Il firewall di Azure è consigliato per un VNet hub, come descritto in questo articolo. Microsoft Defender per il cloud può gestire più criteri di Firewall di Azure centralmente. Oltre ai criteri di Firewall di Azure, sarà possibile gestire altre funzionalità correlate alle Firewall di Azure, come illustrato di seguito.

Screenshot dell'esempio di gestione dei criteri firewall di Azure tramite Microsoft Defender per il cloud.

Per altre informazioni su come Microsoft Defender per il cloud protegge l'ambiente di rete dalle minacce, vedere Che cos'è Microsoft Defender per il cloud?

Illustrazioni tecniche

Queste illustrazioni sono repliche delle illustrazioni di riferimento contenute in questi articoli. Scaricare e personalizzare questi elementi per l'organizzazione e i clienti. Sostituire il logo Contoso con il proprio.

Elemento Descrizione
immagine di anteprima 1 Scaricare Visio
Aggiornamento di ottobre 2024		 Applicare i principi Zero Trust ad Azure IaaS
Usare queste illustrazioni con questi articoli:
- Sintesi
- Archiviazione di Azure
- Macchine virtuali
- Reti virtuali spoke di Azure
- Reti virtuali dell'hub di Azure
immagine di anteprima 2 Scaricare Visio
Aggiornamento di ottobre 2024		 Applicare i principi Zero Trust ad Azure IaaS - Poster di una pagina
Una panoramica su una pagina del processo per applicare i principi di Zero Trust negli ambienti IaaS di Azure.

Per altre illustrazioni tecniche, vedere Illustrazioni Zero Trust per architetti IT e implementatori.

Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure | Microsoft Learn

Passaggi successivi

Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.

  • Last updated on