Informazioni generali sulla sicurezza di Macchine virtuali di Azure
Questo articolo offre una panoramica delle principali funzionalità di sicurezza di Azure che possono essere usate con le macchine virtuali.
Con le Macchine virtuali di Azure è possibile distribuire in modo flessibile un'ampia gamma di soluzioni di elaborazione. Il servizio supporta Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e servizi BizTalk di Azure. In questo modo è possibile distribuire qualsiasi carico di lavoro e implementare qualsiasi lingua su quasi tutti i sistemi operativi.
Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza dover acquistare e gestire l'hardware fisico su cui è in esecuzione la macchina virtuale. È possibile compilare e distribuire le applicazioni con la certezza che i dati saranno protetti e al sicuro nei nostri data center che offrono livelli di sicurezza elevati.
Con Azure è possibile creare soluzioni conformi con sicurezza avanzata che:
- Proteggono le macchine virtuali da virus e malware.
- Applicano la crittografia ai dati sensibili.
- Traffico della rete protetta.
- Identificano e rilevano minacce.
- Soddisfano i requisiti di conformità.
Antimalware
Con Azure è possibile usare software antimalware a cura dei principali fornitori di soluzioni di sicurezza, come Microsoft, Symantec, Trend Micro e Kaspersky. Questo software consente di proteggere le macchine virtuali da file dannosi, adware e altre minacce.
Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure è una funzionalità di protezione in tempo reale che aiuta a identificare e rimuovere virus, spyware e altro software dannoso. Microsoft Antimalware per Azure offre avvisi configurabili quando software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.
Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.
Altre informazioni su Microsoft Antimalware per Azure e sulle funzionalità principali disponibili.
Per altre informazioni sul software antimalware per la protezione delle macchine virtuali:
- Distribuzione di soluzioni antimalware in macchine virtuali di Azure
- Come installare e configurare Trend Micro Deep Security come servizio in una macchina virtuale di Windows
- Soluzioni di sicurezza in Azure Marketplace
Per una protezione ancora più potente, è consigliabile usare Microsoft Defender per endpoint. Con Defender per endpoint, si ottiene:
- Riduzione della superficie di attacco
- Protezione di nuova generazione
- Protezione di endpoint e azioni di risposta
- Indagini automatizzate e azioni di correzione
- Punteggio di sicurezza
- Ricerca avanzata
- Gestione e API
- Protezione da minacce di Microsoft
Altre informazioni: Introduzione a Microsoft Defender per endpoint
Modulo di protezione hardware
Le protezioni con crittografia e autenticazione possono essere migliorate aumentando la sicurezza delle chiavi. È possibile semplificare la gestione e la sicurezza di chiavi e segreti critici archiviandoli in Azure Key Vault.
Key Vault offre la possibilità di archiviare le chiavi nei moduli di protezione hardware (HSM) certificati per gli standard convalidati FIPS 140. Le chiavi di crittografia di SQL Server per backup o Transparent Data Encryption possono essere tutte archiviate nell'insieme di credenziali delle chiavi con qualsiasi chiave o segreto delle applicazioni. Le autorizzazioni e l'accesso a questi elementi protetti vengono gestiti tramite Microsoft Entra ID.
Altre informazioni:
Crittografia dischi delle macchine virtuali
Crittografia dischi di Azure è una nuova funzionalità che consente di crittografare i dischi delle macchine virtuali Windows e Linux. Crittografia dischi di Azure usa la funzionalità standard di settore BitLocker di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia del volume per i dischi dati e il sistema operativo.
La soluzione è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi di crittografia dei dischi e i segreti nella sottoscrizione dell'insieme di credenziali delle chiavi. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.
Altre informazioni:
- Crittografia dischi di Azure per macchine virtuali Linux e Crittografia dischi di Azure per le macchine virtuali Windows
- Guida introduttiva: Crittografare una macchina virtuale IaaS Linux con Azure PowerShell
Backup di una macchina virtuale
Backup di Azure è una soluzione scalabile che consente di proteggere i dati delle applicazioni senza investimenti di capitale e con costi operativi minimi. Gli errori delle applicazioni possono danneggiare i dati e gli errori umani possono comportare l'introduzione di bug nelle applicazioni. Con Backup di Azure, le macchine virtuali che eseguono Windows e Linux sono protette.
Altre informazioni:
Azure Site Recovery
Una parte importante della strategia BCDR dell'organizzazione è capire come mantenere in esecuzione le app e i carichi di lavoro aziendali quando si verificano interruzioni pianificate e non pianificate. Azure Site Recovery consente di orchestrare la replica, il failover e il ripristino di carichi di lavoro e app in modo che siano disponibili da una posizione secondaria in caso di inattività di quella primaria.
Site Recovery:
- Semplifica la strategia BCDR: Site Recovery consente di gestire la replica, il failover e il ripristino di più carichi di lavoro e app aziendali da un'unica posizione. Site Recovery orchestra la replica e il failover, ma non intercetta i dati dell'applicazione né raccoglie le relative informazioni.
- Offre una modalità di replica flessibile: con Site Recovery è possibile replicare i carichi di lavoro in esecuzione in macchine virtuali Hyper-V, macchine virtuali VMware e server fisici Windows o Linux.
- Supporta failover e ripristino: Site Recovery consente il failover di test per supportare analisi del ripristino di emergenza senza interessare gli ambienti di produzione. È anche possibile eseguire failover pianificati senza perdita di dati per interruzioni previste o il failover non pianificato con perdita di dati minima, in base alla frequenza di replica, per emergenze impreviste. Dopo il failover è possibile eseguire il failback nei siti primari. Site Recovery offre piani di ripristino che possono includere script e cartelle di lavoro Automazione di Azure in modo da poter personalizzare il failover e il ripristino di applicazioni multilivello.
- Elimina i data center secondari: è possibile eseguire la replica in un sito secondario locale o in Azure. L'uso di Azure come destinazione per il ripristino di emergenza elimina i costi e la complessità correlati alla gestione di un sito secondario. I dati replicati vengono archiviati nell'archiviazione di Azure.
- Si integra con le tecnologie BCDR esistenti: Site Recovery interagisce con altre funzionalità BCDR dell'applicazione. È ad esempio possibile usare Site Recovery per proteggere il back-end SQL Server dei carichi di lavoro aziendali. È incluso il supporto nativo per SQL Server AlwaysOn, per la gestione del failover dei gruppi di disponibilità.
Altre informazioni:
- Che cos'è Azure Site Recovery?
- Come funziona Azure Site Recovery?
- Quali carichi di lavoro è possibile proteggere con Azure Site Recovery?
Reti virtuali
La connettività di rete è indispensabile per le macchine virtuali. Per supportare questo requisito, Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure.
Una rete virtuale di Azure è un costrutto logico basato sull'infrastruttura di rete fisica di Azure. Ogni rete virtuale di Azure logica è isolata da tutte le altre reti virtuali di Azure. L'isolamento fa in modo che il traffico di rete nelle distribuzioni di un utente non sia accessibile ad altri clienti di Microsoft Azure.
Altre informazioni:
- Panoramica sulla sicurezza di rete di Azure
- Panoramica della rete virtuale
- Funzionalità di rete e relazioni per gli scenari aziendali
Gestione e reporting dei criteri di sicurezza
Microsoft Defender per il cloud consente di prevenire, rilevare e rispondere alle minacce. Defender per il cloud offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. Integra il monitoraggio della sicurezza e la gestione dei criteri in tutte le sottoscrizioni di Azure. Aiuta a rilevare le minacce che potrebbero altrimenti passare inosservate e opera con un ampio ecosistema di soluzioni per la sicurezza.
Defender per il cloud consente di ottimizzare e monitorare la sicurezza delle macchine virtuali tramite:
- Fornendo consigli sulla sicurezza per le macchine virtuali. I suggerimenti di esempio includono: applicare gli aggiornamenti del sistema, configurare gli endpoint ACL, abilitare antimalware, abilitare i gruppi di sicurezza di rete e applicare la crittografia del disco.
- Monitorando lo stato delle macchine virtuali.
Altre informazioni:
- Introduzione alle Microsoft Defender per il cloud
- Microsoft Defender per il cloud domande frequenti
- Microsoft Defender per il cloud pianificazione e operazioni
Conformità
Macchine virtuali di Azure ha ottenuto le certificazioni per FISMA, FedRAMP, HIPAA, PCI DSS Livello 1 e altri importanti programmi di conformità. La certificazione consente alle applicazioni di Azure di soddisfare i requisiti di conformità e all'azienda di rispondere a un'ampia gamma di requisiti normativi locali e internazionali.
Altre informazioni:
- Centro protezione Microsoft - Conformità
- Trusted Cloud: sicurezza, privacy e conformità di Microsoft Azure
Confidential computing
Anche se il confidential computing non fa tecnicamente parte della sicurezza delle macchine virtuali, l'argomento relativo alla sicurezza delle macchine virtuali appartiene al soggetto di livello superiore della sicurezza di calcolo. Il confidential computing appartiene alla categoria di sicurezza "compute".
Il confidential computing garantisce che quando i dati sono "in chiaro", necessari per un'elaborazione efficiente, i dati vengono protetti all'interno di un ambiente di esecuzione https://en.wikipedia.org/wiki/Trusted_execution_environment attendibile (TEE, noto anche come enclave), un esempio di cui è illustrato nella figura seguente.
Gli ambienti di esecuzione attendibili impediscono qualsiasi tentativo di visualizzare operazioni o dati interni dall'esterno, anche con un debugger. Consentono inoltre l'accesso ai dati solo a codice autorizzato. Se il codice è stato modificato o manomesso, le operazioni vengono negate e l'ambiente viene disabilitato. Gli ambienti di esecuzione attendibili applicano queste protezioni a tutto il ciclo di esecuzione del codice in essi contenuto.
Altre informazioni:
- Introducing Azure confidential computing (Introduzione al confidential computing di Azure)
- Azure confidential computing (Confidential computing di Azure)
Passaggi successivi
Informazioni sulle procedure consigliate per la sicurezza per macchine virtuali e sistemi operativi.