Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure ExpressRoute consente connessioni private ad alte prestazioni tra l'infrastruttura locale e i servizi cloud Microsoft, ignorando la rete Internet pubblica. Anche se questa connettività dedicata migliora la sicurezza e l'affidabilità, è essenziale implementare procedure consigliate per proteggere la distribuzione da potenziali minacce.
Questa guida fornisce consigli interattivi per la protezione della distribuzione di Azure ExpressRoute, che illustra le aree chiave, ad esempio la sicurezza di rete, la gestione delle identità, la protezione dei dati, la registrazione e il rilevamento delle minacce, la gestione degli asset e il ripristino. Seguendo queste linee guida, è possibile rafforzare il comportamento di sicurezza, garantire la conformità e mantenere la continuità operativa.
Sicurezza della rete
La sicurezza di rete per ExpressRoute comporta una segmentazione corretta, il controllo del flusso di traffico e il monitoraggio per proteggere la connettività ibrida. Poiché ExpressRoute si integra con le reti virtuali, la protezione del livello di rete è fondamentale per mantenere l'isolamento e impedire l'accesso non autorizzato alle risorse cloud.
Configurare la crittografia MACsec per ExpressRoute Direct: attivare la crittografia MACsec (Media Access Control Security) nelle connessioni ExpressRoute Direct per aggiungere la crittografia di livello 2 tra le apparecchiature di rete e i router perimetrali di Microsoft. Archiviare le chiavi MACsec in modo sicuro in Azure Key Vault. Per altre informazioni, vedere Configurare la crittografia MACsec per ExpressRoute Direct.
Distribuire i gateway ExpressRoute in subnet dedicate: i gateway ExpressRoute vengono distribuiti nelle reti virtuali e forniscono connettività sicura per impostazione predefinita. La subnet del gateway (GatewaySubnet) è configurata con i controlli di sicurezza appropriati. Per altre informazioni, vedere Gateway ExpressRoute.
Controllare il traffico con i gruppi di sicurezza di rete: applicare gruppi di sicurezza di rete alle subnet con risorse connesse tramite ExpressRoute per limitare il traffico in base a porta, protocollo e indirizzo IP di origine. Creare regole del gruppo di sicurezza di rete per negare tutto il traffico in ingresso per impostazione predefinita e consentire solo le comunicazioni necessarie. Per altre informazioni, vedere Panoramica dei gruppi di sicurezza di rete.
Usare Firewall di Azure o appliance virtuali di rete: distribuire Firewall di Azure o appliance virtuali di rete di terze parti per aggiungere controlli di sicurezza come filtri a livello di applicazione, intelligence sulle minacce e registrazione. Queste appliance controllano il traffico tramite ExpressRoute e applicano criteri di sicurezza avanzati. Per altre informazioni, vedere Panoramica di Firewall di Azure.
Annotazioni
Non è possibile configurare i gruppi di sicurezza di rete direttamente in GatewaySubnet.
Implementare la segmentazione di rete: usare il peering di rete virtuale e le tabelle di route per controllare il flusso del traffico tra segmenti di rete connessi tramite ExpressRoute. Questo isola i carichi di lavoro sensibili e limita l'effetto degli eventi imprevisti di sicurezza. Per ulteriori informazioni, vedere Peering di rete virtuale e Tabelle di routing.
Configurare i gateway di rete virtuale con ridondanza della zona: distribuire i gateway di rete virtuale ExpressRoute tra le zone di disponibilità per garantire l'elevata disponibilità e la tolleranza agli errori. I gateway ridondanti di zona assicurano la continuità della connettività anche se una zona di disponibilità subisce un'interruzione. Per ulteriori informazioni, consultare Gateway di rete virtuale ridondanti per zona.
Usare provider di servizi ExpressRoute diversi: scegliere provider di servizi diversi per ogni circuito per garantire percorsi diversi e ridurre il rischio di tempi di inattività della rete dall'interruzione di un singolo provider. Per altre informazioni, vedere Località e provider di servizi ExpressRoute.
Monitorare le connessioni ExpressRoute: abilitare la registrazione diagnostica e il monitoraggio per tenere traccia dell'integrità della connessione, delle prestazioni e degli eventi di sicurezza. Per altre informazioni, vedere Monitoraggio di Azure ExpressRoute.
Gestione delle identità
ExpressRoute non supporta l'autenticazione tradizionale basata su identità per l'accesso al piano dati perché opera a livello di rete. Tuttavia, la gestione corretta delle identità è essenziale per controllare l'accesso alle risorse di ExpressRoute e ai servizi correlati, ad esempio Azure Key Vault per la configurazione MACsec.
Usare il controllo degli accessi in base al ruolo di Azure per le operazioni di gestione: applicare Azure RBAC per limitare chi può creare, modificare o eliminare circuiti ExpressRoute e gateway. Assegnare le autorizzazioni minime necessarie agli utenti e agli account di servizio. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure.
Proteggere i segreti MACsec con Azure Key Vault: archiviare le chiavi di crittografia MACsec in modo sicuro in Azure Key Vault anziché incorporarle nei file di configurazione. ExpressRoute usa le identità gestite per l'autenticazione con Key Vault per il recupero di questi segreti. Per altre informazioni, vedere Configurare la crittografia MACsec per ExpressRoute Direct.
Implementare l'accesso condizionale per la gestione: usare i criteri di accesso condizionale di Microsoft Entra per controllare l'accesso amministrativo alle risorse di ExpressRoute in base alla posizione utente, alla conformità dei dispositivi e al livello di rischio. Ciò consente di garantire che solo gli utenti autorizzati possano gestire circuiti e gateway ExpressRoute. Per altre informazioni, vedere Accesso condizionale.
Protezione dei dati
ExpressRoute offre connettività privata, ma non crittografa i dati in transito per impostazione predefinita. Aggiungere misure di crittografia e sicurezza per proteggere i dati sensibili durante il flusso tra l'ambiente locale e i servizi di Azure.
Configurare l'autenticazione hash MD5: utilizzare l'autenticazione hash MD5 durante la configurazione del peering privato o del peering Microsoft per proteggere i messaggi tra il router locale (on-premises) e i router Microsoft Enterprise Edge (MSEE). Ciò garantisce l'integrità dei dati e impedisce la manomissione durante il transito. Per altre informazioni, vedere Requisiti di routing di ExpressRoute.
Implementare la VPN IPsec su ExpressRoute: per aggiungere la crittografia tramite peering privato ExpressRoute, configurare una connessione VPN che usa il circuito ExpressRoute come trasporto. In questo modo viene aggiunta la crittografia end-to-end per il traffico. Per ulteriori informazioni, consultare Utilizzo della VPN site-to-site come backup per il peering privato di ExpressRoute.
Crittografare i dati sensibili a livello di applicazione: poiché ExpressRoute non fornisce la crittografia a livello di applicazione, assicurarsi che le applicazioni crittografino i dati sensibili prima della trasmissione usando i metodi di crittografia TLS/SSL o specifici dell'applicazione.
Registrazione e rilevamento delle minacce
Il monitoraggio delle connessioni ExpressRoute e delle attività di rete correlate è essenziale per rilevare potenziali minacce alla sicurezza e mantenere la conformità. La registrazione corretta consente di identificare modelli di traffico insoliti e problemi di connessione che potrebbero indicare eventi imprevisti di sicurezza.
Abilitare i log delle risorse di ExpressRoute: configurare le impostazioni di diagnostica per inviare i log delle risorse di ExpressRoute a Monitoraggio di Azure, Log Analytics o Archiviazione di Azure per l'analisi e la conservazione. Questi log mostrano gli eventi di connessione e le metriche delle prestazioni. Per altre informazioni, vedere Monitoraggio di Azure ExpressRoute.
Configurare avvisi per problemi di integrità e connessione dei servizi: usare Monitoraggio di Azure per configurare avvisi per interruzioni del circuito ExpressRoute, riduzione delle prestazioni, modifiche alla configurazione ed eventi di manutenzione pianificati e non pianificati. Questi avvisi consentono di gestire in modo proattivo la connettività e il comportamento di sicurezza. Per altre informazioni, vedere Monitorare i circuiti ExpressRoute.
Monitorare i modelli di traffico di rete: usare Network Watcher di Azure e Analisi del traffico per analizzare il traffico tramite la connessione ExpressRoute. In questo modo è possibile trovare modelli insoliti che potrebbero indicare minacce alla sicurezza o configurazioni errate. Per altre informazioni, vedere Azure Network Watcher e Monitorare il traffico di rete con Analisi del traffico.
Integrazione con Microsoft Sentinel: inviare i log di ExpressRoute a Microsoft Sentinel per rilevare minacce avanzate e correlarle con altri eventi di sicurezza nell'ambiente ibrido.
Gestione delle risorse
La gestione delle risorse di ExpressRoute comporta in modo efficace l'implementazione di governance, il monitoraggio delle configurazioni e la conformità ai criteri dell'organizzazione. La gestione corretta degli asset consente di mantenere il comportamento di sicurezza e la visibilità operativa.
Implementare l'assegnazione di tag alle risorse: usare i tag delle risorse di Azure per organizzare e tenere traccia dei circuiti ExpressRoute, dei gateway e delle risorse correlate. I tag sono utili per la gestione dei costi, la classificazione della sicurezza e la responsabilità operativa. Per altre informazioni, vedere Tag delle risorse di Azure.
Tenere traccia dell'utilizzo del circuito: monitorare i modelli di utilizzo e connessione della larghezza di banda per identificare attività insolite che possono indicare minacce alla sicurezza o problemi operativi.
Manutenzione della documentazione: mantenere i record dettagliati delle configurazioni di ExpressRoute, incluse le impostazioni del circuito, i criteri di routing e le configurazioni di sicurezza, per supportare la risposta agli eventi imprevisti e il controllo della conformità.
Backup e ripristino
Garantire la continuità aziendale per la connettività ExpressRoute implementando soluzioni di backup e procedure di ripristino. Anche se non è possibile eseguire il backup dei circuiti ExpressRoute, creare opzioni di connettività ridondanti e impostazioni di configurazione dei documenti.
Distribuire circuiti ExpressRoute ridondanti: configurare più circuiti ExpressRoute in posizioni di peering separate per garantire alta disponibilità e failover automatico. Questo approccio garantisce che la connettività rimanga operativa se si verifica un problema in un circuito. Per altre informazioni, vedere Progettare una connessione ExpressRoute resiliente.
Implementare la connettività di backup VPN: configurare le connessioni VPN da sito a sito come backup per il peering privato ExpressRoute. Questa configurazione fornisce connettività alternativa se il circuito ExpressRoute primario ha esito negativo. Per altre informazioni, vedere Uso della VPN da sito a sito come backup per il peering privato di ExpressRoute.
Procedura di test del failover: Testare regolarmente le opzioni di connettività di backup e le procedure di failover per assicurarsi che funzionino correttamente quando necessario. Usare strumenti come Azure Connectivity Toolkit per convalidare le prestazioni e la connettività. Per altre informazioni, vedere Azure Connectivity Toolkit.
Documentazione delle impostazioni di configurazione: Mantieni una documentazione dettagliata delle configurazioni di ExpressRoute, includendo le impostazioni del circuito, le configurazioni di routing e i criteri di sicurezza. Questa documentazione consente un ripristino più rapido in caso di problemi di configurazione o sostituzione del circuito. Per altre informazioni, vedere Configurazione del circuito ExpressRoute.
Sfruttare le informazioni dettagliate sulla resilienza e la convalida per il ripristino: usare Informazioni dettagliate sulla resilienza di ExpressRoute per valutare la resilienza della connettività e convalidare gli obiettivi del tempo di ripristino. Informazioni dettagliate sulla resilienza consentono di identificare le lacune di configurazione, gli scenari di errore di test e verificare che le soluzioni di backup e failover soddisfino i requisiti di ripristino aziendali. Eseguire regolarmente la convalida della resilienza per assicurarsi che l'ambiente sia preparato per le interruzioni e che le procedure di ripristino siano efficaci. Per altre informazioni, vedere Informazioni dettagliate sulla resilienza di ExpressRoute e Convalida della resilienza di ExpressRoute.