Introduzione alla progettazione dell'architettura di sicurezza

La sicurezza è uno degli aspetti essenziali di qualsiasi architettura. Misure di sicurezza efficaci proteggono la riservatezza, l'integrità e la disponibilità dei dati e dei sistemi da attacchi intenzionali e abusi.

Azure offre numerosi strumenti e funzionalità di sicurezza, inclusi i servizi chiave seguenti:

• Microsoft Defender per il cloud fornisce la gestione del comportamento di sicurezza cloud (CSPM) e la protezione del carico di lavoro cloud (CWP). Valuta le risorse per la conformità alla sicurezza, fornisce un punteggio di sicurezza per tenere traccia del comportamento e offre la protezione dalle minacce tra carichi di lavoro Azure, locali e multicloud.

• Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud Microsoft. Fornisce l'accesso Single Sign-On (SSO), l'autenticazione a più fattori (MFA) e l'accesso condizionale per evitare attacchi basati sull'identità.

• Frontdoor di Azure è un punto di ingresso globale per le applicazioni Web. Fornisce un web application firewall (WAF) predefinito per la protezione da exploit e vulnerabilità comuni, protezione DDoS e terminazione TLS (Transport Layer Security) sul perimetro.

• Firewall di Azure è un firewall di rete nativo del cloud che supporta il filtro basato su intelligence sulle minacce, il rilevamento e la prevenzione delle intrusioni (IDPS) nel livello Premium, nell'ispezione TLS e nelle regole basate su nome di dominio completo (FQDN).

• Azure Key Vault offre gestione centralizzata dei segreti, gestione delle chiavi e gestione dei certificati. Il livello Premium offre chiavi protette dal modulo di protezione hardware (HSM) convalidate in FIPS (Federal Information Processing Standards) 140-3 livello 3.

• collegamento privato di Azure consente di accedere alle soluzioni PaaS (Platform as a Service) Azure tramite un endpoint privato nella rete virtuale. Questo approccio mantiene il traffico sulla rete backbone Microsoft ed elimina l'esposizione alla rete Internet pubblica.

• gateway applicazione di Azure è un servizio regionale di bilanciamento del carico del traffico Web che include un WAF che protegge dalle 10 principali vulnerabilità dell'Open Worldwide Application Security Project (OWASP), la mitigazione dei bot e regole personalizzate.

• Criteri di Azure consente di applicare gli standard dell'organizzazione, valutare la conformità su larga scala e applicare protezioni che impediscono configurazioni di risorse non conformi.

Per altre informazioni sugli strumenti e le funzionalità di sicurezza Azure, vedere Sicurezza end-to-end in Azure.

Architettura

A sinistra, gli utenti (Utente, Amministratore e Sviluppatore) si connettono a Azure. Il centro mostra una rete virtuale dell'hub di sicurezza che contiene Firewall di Azure Premium nella propria subnet, un gateway VPN in una subnet Gateway VPN di Azure, Azure Bastion in una subnet Azure Bastion e Protezione DDoS Azure. Questo hub si connette a una rete virtuale spoke di gestione dei carichi di lavoro sulla destra, che contiene un'architettura applicativa a tre livelli. L'architettura dell'applicazione è costituita da una subnet del gateway applicazione con AppGw (WAF), una subnet del livello front-end con due macchine virtuali (VM) protette da gruppi di sicurezza delle applicazioni (ASG) e un gruppo di sicurezza di rete (NSG), una subnet del livello app con due macchine virtuali protette da gruppi di sicurezza di rete e un gruppo di sicurezza di rete e una subnet del livello dati con due macchine virtuali protette da gruppi di sicurezza di rete e un gruppo di sicurezza di rete. Le linee tratteggiate nello spoke indicano l'accesso alla macchina virtuale richiesta tramite i livelli di sicurezza. Sotto l'architettura hub-spoke, la sezione Azure servizi di archiviazione contiene Archiviazione BLOB di Azure e File di Azure. A destra, la sezione Servizi PaaS comuni include Microsoft Entra ID, Microsoft Defender per il cloud, controllo degli accessi in base al ruolo, Monitoraggio di Azure e Azure Key Vault. Nella parte inferiore, una sezione data center locale mostra un router, utenti amministratori, Active Directory Domain Services (AD DS), Microsoft Entra Connect e un'app locale. Le frecce in tutto il diagramma illustrano i flussi di traffico e i percorsi di connettività sicuri tra tutti i componenti.

Scaricare un file di Visio di questa architettura.

Il diagramma precedente illustra un'implementazione tipica della sicurezza di base. L'architettura mostra come Azure i servizi di sicurezza interagiscono per proteggere i carichi di lavoro tra identità, rete, dati e livelli dell'applicazione. Per soluzioni reali che è possibile creare in Azure, vedere Example solutions.

Informazioni sulla sicurezza in Azure

Microsoft Learn offre formazione online gratuita per Azure tecnologie di sicurezza. La piattaforma offre video, esercitazioni e lab interattivi per prodotti e servizi specifici, insieme ai percorsi di apprendimento organizzati in base al ruolo di lavoro.

Le risorse seguenti forniscono informazioni di base per le implementazioni di sicurezza in Azure.

Security fundamentals: I percorsi di apprendimento seguenti illustrano i concetti di base relativi alla sicurezza e le funzionalità di sicurezza Azure:

• Introduzione ai concetti relativi a sicurezza, conformità e identità
• Introduzione a Microsoft Entra
• Introduzione alle soluzioni di sicurezza Microsoft

Sicurezza di rete: Il percorso di apprendimento seguente illustra la sicurezza della rete virtuale, la segmentazione di rete e la connettività sicura:

• Configurare l'accesso sicuro ai carichi di lavoro usando Azure rete virtuale

Protezione dei dati: Il percorso di apprendimento seguente illustra la crittografia, la gestione delle chiavi e la sicurezza delle applicazioni:

• Secure your cloud applications in Azure

Protezione dalle minacce: Il percorso di apprendimento seguente illustra il rilevamento, l'analisi e la risposta delle minacce:

• Mitigate minacce tramite Microsoft Defender per il cloud

Percorsi di apprendimento per ruolo

Microsoft Learn offre percorsi di certificazione basati sui ruoli per i professionisti della sicurezza:

• Microsoft Certified: Azure Security Engineer Associate (AZ-500)

  Annotazioni

  La certificazione AZ-500 viene ritirata il 31 agosto 2026. Controllare la pagina della certificazione per le informazioni più recenti.

• Microsoft Certified: Security Operations Analyst Associate (SC-200)

• Microsoft Certified: Cybersecurity Architect Expert (SC-100)

Livello di preparazione dell'organizzazione

Le organizzazioni che avviano l'adozione del cloud possono usare Cloud Adoption Framework per Azure per accedere a indicazioni comprovate che accelerano l'adozione del cloud. La metodologia Cloud Adoption Framework Secure offre un approccio strutturato per proteggere il cloud Azure. Fornisce indicazioni sulla sicurezza in tutta la strategia, la pianificazione, la conformità, l'adozione, la governance e le operazioni.

La governance di Azure stabilisce gli strumenti necessari per supportare la governance del cloud, il controllo della conformità e le protezioni automatizzate. Per altre informazioni, vedere guida alla progettazione dell'area di governance di Azure.

Per garantire la qualità della soluzione di sicurezza in Azure, seguire Azure Well-Architected Framework. Il framework Well-Architected fornisce indicazioni prescrittive per le organizzazioni che cercano l'eccellenza dell'architettura e descrive come progettare, effettuare il provisioning e monitorare soluzioni di Azure ottimizzate per i costi. Per ulteriori informazioni, vedere il Pilastro di Sicurezza del Well-Architected Framework.

Per indicazioni specifiche per la sicurezza, vedere le guide dei servizi del Well-Architected Framework seguenti:

• Firewall di Azure
• gateway applicazione di Azure
• Frontdoor di Azure

Procedure consigliate

Seguire queste procedure consigliate per migliorare la sicurezza, l'affidabilità, le prestazioni e la qualità operativa dei carichi di lavoro di sicurezza in Azure:

• Principi di progettazione di sicurezza: principi guida che consentono di progettare carichi di lavoro sicuri su Azure, in base al modello di Zero Trust e alla cia triade di riservatezza, integrità e disponibilità.

• Collegamenti rapidi alla sicurezza: una pagina hub per il pilastro Well-Architected Framework Security che fornisce collegamenti a linee guida per la sicurezza, modelli di progettazione e procedure consigliate.

• Elenco di controllo della revisione della progettazione per la sicurezza: elenco di controllo delle raccomandazioni per la progettazione della sicurezza che illustra identità, rete, protezione dei dati e governance.

• Firewall di Azure e gateway applicazione di Azure per le reti virtuali: linee guida per proteggere i carichi di lavoro delle applicazioni Azure usando i livelli di autenticazione, crittografia e sicurezza di rete con Firewall di Azure e gateway applicazione di Azure.

• Implementare una rete Zero Trust per le applicazioni Web utilizzando Firewall di Azure e gateway applicazione di Azure: un approccio proattivo e integrato alla sicurezza in tutti i livelli utilizzando i principi di Zero Trust e crittografia TLS end-to-end e ispezione.

• Microsoft cloud security benchmark: procedure consigliate e consigli prescrittivi per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in ambienti Azure e multicloud.

Rimanere aggiornati con la sicurezza

Azure i servizi di sicurezza si evolvono per affrontare le sfide di sicurezza moderne. Rimanere informati sugli aggiornamenti e sulle funzionalità più recenti.

Per rimanere aggiornati sui servizi di sicurezza chiave, vedere gli articoli seguenti:

• Novità di Microsoft Defender per il cloud
• Rilasci e annunci di Microsoft Entra
• Novità di Azure Key Vault
• Novità di Microsoft Sentinel
• Novità di Firewall di Azure
• Novità di gateway applicazione di Azure

Altre risorse

La categoria di sicurezza copre una serie di soluzioni. Le risorse seguenti consentono di ottenere altre informazioni sulle Azure.

Soluzioni di esempio

Le soluzioni di architettura seguenti illustrano modelli di sicurezza e implementazioni in Azure:

• Accesso migliorato alla sicurezza per le app Web di Servizio app di Azure da una rete locale
• Applicazioni Web gestite in modo sicuro
• Applicazione web di base altamente disponibile con ridondanza zonale
• Esplorare tutte le architetture di sicurezza

Documentazione del prodotto

• Sicurezza end-to-end in Azure: introduzione ai servizi di sicurezza in Azure, organizzati in base alle funzionalità di protezione, rilevamento e risposta.

• Microsoft Architetture di riferimento alla cybersecurity: diagrammi che descrivono come le funzionalità di sicurezza Microsoft si integrano con piattaforme Microsoft e piattaforme partner usando principi di Zero Trust.

Soluzioni ibride e multicloud

La maggior parte delle organizzazioni ha bisogno di un approccio ibrido alla sicurezza perché i carichi di lavoro, le identità e i dati si estendono su data center locali, Azure e altre piattaforme cloud. I criteri di sicurezza, il rilevamento delle minacce e i controlli di conformità devono estendersi in tutti questi ambienti per evitare lacune che gli utenti malintenzionati possono sfruttare. Le organizzazioni in genere estend soluzioni di sicurezza locali nel cloud e usano Azure Arc per proiettare risorse non Azure nel piano di controllo Azure per la governance centralizzata. Per connettere gli ambienti, le organizzazioni devono scegliere un'architettura di rete ibrida.

Esaminare gli scenari di sicurezza ibridi e multicloud seguenti:

• Implement a secure hybrid network: architettura di riferimento che estende una rete locale a Azure. Usa una rete perimetrale (nota anche come DMZ, zona demilitarizzata e subnet schermata) e Firewall di Azure per controllare il traffico in ingresso e in uscita tra ambienti locali e Azure.

• Connettere una rete locale a Azure: confronto tra opzioni di connettività di rete ibrida, tra cui Gateway VPN di Azure, Azure ExpressRoute e Azure ExpressRoute con failover VPN, che stabiliscono le basi di rete sicure per le distribuzioni ibride.

• Architettura ibrida: una pagina hub per le architetture ibride in Azure che copre la connettività di rete ibrida, le procedure consigliate e le architetture di riferimento per eseguire carichi di lavoro in ambienti locali e Azure.

• Designa una soluzione DNS ibrida usando Azure: architettura di riferimento che implementa una soluzione DNS (Domain Name System) ibrida che risolve i nomi per i carichi di lavoro ospitati in locale e in Azure. Questa architettura usa DNS di Azure resolver privato e Firewall di Azure.

• Implementazione dell'adozione ibrida e multicloud usando Azure Arc e Azure aree di atterraggio: linee guida per l'integrazione di server locali, cluster Kubernetes e servizi multicloud nella piattaforma di gestione Azure usando Azure Arc. Questa architettura utilizza Microsoft Defender per il cloud per abilitare l'applicazione centralizzata delle politiche, il monitoraggio e la protezione dalle minacce.

• Integrate Azure e Microsoft Defender XDR servizi di sicurezza: un'idea di soluzione che integra Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft Defender XDR per unificare il monitoraggio della sicurezza e la risposta alle minacce in ambienti locali e cloud.

Gestione delle identità e dell'accesso

L'identità è il perimetro di sicurezza principale negli ambienti cloud. In Azure, IAM si basa su Microsoft Entra ID come provider di identità basato sul cloud. Accesso condizionale di Microsoft Entra funge da motore delle regole di Zero Trust. Le architetture e le guide seguenti illustrano i modelli di progettazione IAM per gli ambienti Azure e multicloud:

• Integrazione dei domini locali di Active Directory con Microsoft Entra ID: un'architettura di riferimento che integra Active Directory locali con Microsoft Entra ID per fornire autentificazione dell'identità basata sul cloud, tra cui Microsoft Entra Connect Sync, il proxy dell'applicazione Microsoft Entra, e Accesso condizionale di Microsoft Entra.

• progettazione dell'architettura Identity: una pagina hub per l'architettura delle identità in Azure che include percorsi di apprendimento, opzioni di progettazione, linee guida all'implementazione e implementazioni di identità di base.

• Creare una foresta di risorse Active Directory Domain Services (AD DS) in Azure: Un'architettura di riferimento che crea un dominio di Active Directory separato in Azure, che le foreste di Active Directory presenti on-premises possono fidarsi.

• Distribuire i Servizi di Dominio Active Directory in una rete virtuale Azure: Un'architettura di riferimento che estende un dominio Active Directory locale ad Azure per fornire gli servizi di autenticazione distribuita.

• Estendi AD FS locale ad Azure: un'architettura di riferimento che implementa l'autorizzazione Active Directory Federation Services (AD FS) in Azure come parte di una rete ibrida sicura.

Protezione dalle minacce

La protezione dalle minacce comprende gli strumenti, i modelli e le procedure che rilevano, impediscono e rispondono alle minacce alla sicurezza nei carichi di lavoro Azure. Azure offre protezione dalle minacce a più livelli tramite servizi quali Microsoft Defender per il cloud, Microsoft Sentinel e Microsoft Entra ID Protection. Questi servizi usano l'analisi comportamentale, l'apprendimento automatico e l'intelligence sulle minacce per rilevare le minacce nei livelli di calcolo, archiviazione, rete, identità e applicazione.

Le architetture e le guide seguenti affrontano i modelli di protezione dalle minacce in Azure:

• Protezione multilivello per l'accesso alle macchine virtuali (VM) Azure: una soluzione di difesa in profondità che combina Microsoft Entra Privileged Identity Management (PIM), l'accesso just-in-time (JIT) alle macchine virtuali in Microsoft Defender per il cloud, Azure Bastion e ruoli personalizzati di controllo degli accessi in base al ruolo di Azure (Azure RBAC) per ridurre la superficie di attacco nella gestione delle macchine virtuali.

• Costruisci il primo livello di difesa usando i servizi di sicurezza Azure: un'idea di soluzione che mappa i servizi di sicurezza Azure alle risorse e ai tipi di minaccia usando il framework MITRE ATT&CK. Questo articolo organizza Azure servizi di sicurezza in base a livelli di rete, infrastruttura, applicazione, dati e identità.

• Eseguire il mapping delle minacce all'ambiente IT: linee guida che consentono di creare un diagramma dell'ambiente IT e di creare una mappa delle minacce usando il framework MITRE ATT&CK. Vengono trattati ambienti locali, Azure e Microsoft 365.

• Integrate Azure e Microsoft Defender XDR servizi di sicurezza: un'idea di soluzione che illustra come integrare Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft Defender XDR per il monitoraggio della sicurezza unificata e la risposta alle minacce in ambienti locali e cloud.

• Microsoft Sentinel risposte automatiche: un'idea di soluzione che usa playbook Microsoft Sentinel e App per la logica di Azure per automatizzare la risposta alle minacce, incluso il blocco degli utenti compromessi e l'isolamento degli endpoint.

• Applicare i principi di Zero Trust alle macchine virtuali in Azure: linee guida dettagliate per applicare i principi di Zero Trust alle macchine virtuali di Azure, tra cui isolamento logico, RBAC (controllo degli accessi in base al ruolo), avvio protetto, crittografia, accesso sicuro tramite Azure Bastion e rilevamento avanzato delle minacce utilizzando Microsoft Defender per server.

• Azure protezione dalle minacce: panoramica dei servizi di protezione dalle minacce Azure, tra cui Microsoft Defender per il cloud, Microsoft Sentinel, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps e Firewall di Azure.

Amazon Web Services (AWS) o i professionisti di Google Cloud

Per iniziare rapidamente, gli articoli seguenti confrontano Azure opzioni di sicurezza con altri servizi cloud.

Confronto tra i servizi

• Compare AWS e Azure soluzioni di gestione delle identità: confronto dettagliato tra AWS e Azure servizi di gestione delle identità, tra cui identità di base, autenticazione, controllo di accesso, gestione degli accessi con privilegi e modelli di identità delle applicazioni.

• AWS per Azure confronto dei servizi - Sicurezza, identità e accesso: confronto tra AWS e Azure servizi di sicurezza, tra cui IAM, crittografia, firewall, rilevamento delle minacce, informazioni di sicurezza e gestione degli eventi (SIEM) e protezione DDoS.

• Google Cloud per Azure confronto dei servizi - Sicurezza e identità: confronto tra Google Cloud e servizi di sicurezza Azure. Illustra l'autenticazione, la crittografia, la gestione delle chiavi, il rilevamento delle minacce, SIEM, la sicurezza dei contenitori e la prevenzione della perdita dei dati (DLP).

• Microsoft Entra gestione delle identità e gestione degli accessi per AWS: indicazioni per distribuire soluzioni IAM Microsoft Entra per AWS, tra cui SSO, MFA, Accesso condizionale di Microsoft Entra e Microsoft Entra PIM per gli account AWS.

Indicazioni sulla migrazione

Se si esegue la migrazione da un'altra piattaforma cloud, vedere gli articoli seguenti:

• Migrare i servizi di sicurezza da AWS: Guida per migrare i servizi di sicurezza AWS ad Azure, inclusa la migrazione SIEM a Microsoft Sentinel e la migrazione delle identità dei clienti a Microsoft Entra per ID esterno.

• Migrate i carichi di lavoro da Azure da altre piattaforme cloud: panoramica del processo di migrazione dei carichi di lavoro end-to-end da AWS e Google Cloud a Azure, incluse le fasi di pianificazione, preparazione ed esecuzione.