Sicurezza end-to-end in Azure
Uno dei motivi migliori per usare Azure per le proprie applicazioni e i propri servizi consiste nella possibilità di sfruttare una vasta gamma di strumenti e funzionalità per la sicurezza. Questi strumenti e queste funzionalità consentono di creare soluzioni sicure sulla piattaforma Azure protetta. Microsoft Azure garantisce la riservatezza, l'integrità e la disponibilità dei dati dei clienti, assicurando anche al tempo stesso una rendicontazione trasparente.
Il diagramma e la documentazione seguenti illustrano i servizi di sicurezza in Azure. Questi servizi di sicurezza consentono di soddisfare le esigenze di sicurezza dell'azienda e proteggere gli utenti, i dispositivi, le risorse, i dati e le applicazioni nel cloud.
Mappa dei servizi di sicurezza Microsoft
La mappa dei servizi di sicurezza organizza i servizi in base alle risorse protette (colonna). Il diagramma raggruppa anche i servizi nelle categorie seguenti (riga):
- Sicurezza e protezione: servizi che consentono di implementare una strategia di difesa approfondita a più livelli tra identità, host, reti e dati. Questa raccolta di servizi e funzionalità di sicurezza consente di comprendere e migliorare la postura di sicurezza nell'ambiente di Azure.
- Rilevamento delle minacce: servizi che identificano le attività sospette e facilitano la mitigazione della minaccia.
- Analisi e risposta: servizi che estraggono i dati di registrazione in modo da consentire di valutare un'attività sospetta e rispondere.
Controlli di sicurezza e baseline
Il Microsoft Cloud Security Benchmark include una raccolta di raccomandazioni sulla sicurezza ad alto impatto che è possibile adottare per proteggere i servizi usati in Azure:
- Controlli di sicurezza: queste raccomandazioni sono in genere applicabili nei servizi di Azure e nel tenant di Azure. Ogni raccomandazione identifica un elenco di stakeholder che sono in genere coinvolti nella pianificazione, nell'approvazione o nell'implementazione del benchmark.
- Baseline dei servizi: applicano i controlli ai singoli servizi di Azure per fornire raccomandazioni sulla configurazione di sicurezza del servizio.
Garantire sicurezza e protezione
| Servizio | Descrizione |
|---|---|
| Microsoft Defender per il cloud | Un sistema di gestione della sicurezza delle infrastrutture unificato che rafforza la sicurezza dei data center e fornisce protezione avanzata dalle minacce per i carichi di lavoro ibridi su cloud, di Azure o meno, e in locale. |
| Gestione delle identità e degli accessi | |
| Microsoft Entra ID | Servizio Microsoft basato sul cloud per la gestione delle identità e degli accessi. |
| Accesso condizionale è lo strumento usato da Microsoft Entra ID per raggruppare i segnali relativi alle identità, consentendo di prendere decisioni e applicare i criteri dell'organizzazione. | |
| Domain Services è lo strumento usato da Microsoft Entra ID per fornire servizi di dominio gestiti, come l'aggiunta a un dominio, Criteri di gruppo, LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. | |
| Privileged Identity Management (PIM): è un servizio di Microsoft Entra ID che permette di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. | |
| L'Autenticazione a più fattori è lo strumento usato da Microsoft Entra ID per proteggere l'accesso ai dati e alle applicazioni richiedendo una seconda forma di autenticazione. | |
| Microsoft Entra ID Protection | Uno strumento che consente alle organizzazioni di automatizzare il rilevamento e la correzione dei rischi basati sull'identità, investigare i rischi usando i dati disponibili nel portale ed esportare i dati di rilevamento dei rischi in utilità di terze parti per ulteriori analisi. |
| Infrastruttura e rete | |
| Gateway VPN | Un gateway di rete virtuale usato per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico e inviare traffico crittografato tra reti virtuali di Azure tramite la rete Microsoft. |
| Protezione di Azure dagli attacchi DDoS | Fornisce funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere specifiche risorse di Azure in una rete virtuale. |
| Frontdoor di Azure | Un punto di ingresso globale e scalabile che usa la rete perimetrale globale Microsoft per creare applicazioni Web veloci, sicure e ampiamente scalabili. |
| Firewall di Azure | Un servizio di sicurezza del firewall di rete nativo del cloud e intelligente che fornisce protezione dalle minacce per i carichi di lavoro cloud in esecuzione in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti. Firewall di Azure è disponibile in tre SKU: Standard, Premium e Basic. |
| Azure Key Vault | Archivio dei segreti sicuro per token, password, certificati, chiavi API e altri segreti. Key Vault può essere usato anche per creare e controllare le chiavi di crittografia usate per crittografare i dati. |
| HSM gestito di Key Vault | Un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3. |
| Collegamento privato di Azure | Consente di accedere ai servizi PaaS di Azure, ad esempio Archiviazione di Azure e Database SQL, nonché ai servizi di proprietà di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale. |
| Gateway applicazione di Azure | Un servizio avanzato di bilanciamento del carico del traffico Web che consente di gestire il traffico verso le applicazioni Web. Il gateway applicazione consente di prendere decisioni relative al routing basate su altri attributi di una richiesta HTTP, ad esempio il percorso dell'URI o le intestazioni host. |
| Bus di servizio di Azure | Un broker di messaggi aziendale completamente gestito, con code di messaggi e argomenti di pubblicazione-sottoscrizione. Il bus di servizio viene usato per separare applicazioni e servizi. |
| Web application firewall | Fornisce protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni. WAF può essere distribuito con Gateway applicazione di Azure e con Frontdoor di Azure. |
| Criteri di Azure | Consente di imporre standard aziendali e di valutare la conformità su larga scala. Il dashboard di conformità fornisce una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down con granularità per risorsa e per criterio. Consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco per le risorse esistenti e la correzione automatica per le nuove risorse. |
| Dati e applicazioni | |
| Backup di Azure | Offre soluzioni semplici, sicure ed economicamente convenienti per eseguire il backup dei dati e ripristinarli dal cloud di Microsoft Azure. |
| Crittografia del servizio di archiviazione di Azure | Crittografa automaticamente i dati prima che vengano archiviati e decrittografa automaticamente i dati quando vengono recuperati. |
| Azure Information Protection | Una soluzione basata sul cloud che consente alle organizzazioni di individuare, classificare e proteggere documenti e messaggi di posta elettronica applicando etichette ai contenuti. |
| Gestione API | Consente di creare rapidamente gateway API coerenti e moderni per servizi back-end esistenti. |
| Azure confidential computing (Confidential computing di Azure) | Consente di isolare i dati sensibili durante l'elaborazione nel cloud. |
| Azure DevOps | I progetti di sviluppo traggono vantaggio da più livelli di tecnologie di sicurezza e governance, procedure operative e criteri di conformità archiviati in Azure DevOps. |
| Accesso dei clienti | |
| Microsoft Entra per ID esterno | Con le identità esterne in Microsoft Entra ID, è possibile consentire a persone esterne all'organizzazione di accedere ad app e risorse aziendali, permettendo loro di eseguire l'accesso con l'identità preferita. |
| È possibile condividere le app e le risorse con utenti esterni tramite la collaborazione di Microsoft Entra B2B. | |
| Azure AD B2C consente di supportare milioni di utenti e miliardi di autenticazioni al giorno, monitorando e gestendo automaticamente minacce come attacchi Denial of Service, Password spraying o attacchi di forza bruta. |
Rilevare le minacce
| Servizio | Descrizione |
|---|---|
| Microsoft Defender per il cloud | Offre protezione avanzata intelligente delle risorse e dei carichi di lavoro di Azure e ibridi. Il dashboard di protezione del carico di lavoro in Defender per il cloud offre visibilità e controllo delle funzionalità di protezione dei carichi di lavoro cloud per l'ambiente in uso. |
| Microsoft Sentinel | Soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Sentinel offre analisi della sicurezza intelligenti e intelligence sulle minacce per l'intera azienda, fornendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. |
| Gestione delle identità e degli accessi | |
| Microsoft Defender XDR | Un gruppo di difesa aziendale pre e post-violazione unificato che coordina in modo nativo il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni per fornire protezione integrata da attacchi sofisticati. |
| Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. | |
| Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell'organizzazione. | |
| Microsoft Entra ID Protection | Invia due tipi di messaggi di posta elettronica di notifica automatizzati che consentono di gestire i rischi utente e i rilevamenti dei rischi: messaggi relativi agli utenti a rischio rilevati e messaggi di riepilogo settimanale. |
| Infrastruttura e rete | |
| Firewall di Azure | Firewall di Azure Premium offre il sistema IDPS (Intrusion Detection and Prevention System) basato sulla firma per consentire il rilevamento rapido degli attacchi tramite la ricerca di criteri specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate dal malware. |
| Microsoft Defender per IoT | Soluzione di sicurezza unificata per identificare i dispositivi IoT/OT, le vulnerabilità e le minacce. Consente di proteggere l'intero ambiente IoT/OT, indipendentemente dal fatto che sia necessario proteggere i dispositivi IoT/OT esistenti o creare la sicurezza in nuove innovazioni IoT. |
| Azure Network Watcher | Fornisce gli strumenti per il monitoraggio, la diagnostica, la visualizzazione delle metriche e l'abilitazione o la disabilitazione dei log per le risorse in una rete virtuale di Azure. Network Watcher è progettato per monitorare e risolvere i problemi di integrità della rete dei prodotti IaaS, che includono macchine virtuali, reti virtuali, gateway applicazione e sistemi di bilanciamento del carico. |
| Criteri di Azure | Consente di imporre standard aziendali e di valutare la conformità su larga scala. Criteri di Azure usa i log attività, che vengono abilitati automaticamente per includere origine evento, data, utente, timestamp, indirizzi di origine, indirizzi di destinazione e altri elementi utili. |
| Dati e applicazioni | |
| Microsoft Defender per contenitori | Soluzione nativa del cloud usata per proteggere i contenitori in modo da poter migliorare, monitorare e gestire la sicurezza dei cluster, dei contenitori e delle applicazioni. |
| Microsoft Defender for Cloud Apps | CASB (Cloud Access Security Broker) che opera su più cloud. Offre un'elevata visibilità sui servizi cloud, il controllo dello spostamento dei dati e analisi sofisticate per identificare e contrastare le minacce informatiche in tutti i servizi cloud. |
Analizzare e rispondere
| Servizio | Descrizione |
|---|---|
| Microsoft Sentinel | Potenti strumenti di ricerca e query per cercare minacce alla sicurezza nelle origini dati dell'organizzazione. |
| Metriche e log di Monitoraggio di Azure | Offre una soluzione completa per la raccolta, l'analisi e l'esecuzione di operazioni sui dati di telemetria dal cloud e dagli ambienti locali. Monitoraggio di Azure raccoglie e aggrega i dati di diverse origini in una piattaforma dati comune, nella quale è possibile usare tali dati a scopo di analisi, visualizzazione e creazione di avvisi. |
| Gestione delle identità e degli accessi | |
| Report e monitoraggio di Azure AD | I report di Microsoft Entra offrono una visualizzazione completa delle attività nell'ambiente in uso. |
| Il monitoraggio di Microsoft Entra consente di instradare i log attività di Microsoft Entra a endpoint diversi. | |
| Cronologia di controllo PIM per Microsoft Entra | Mostra tutte le assegnazioni di ruolo e le attivazioni negli ultimi 30 giorni per tutti i ruoli con privilegi. |
| Dati e applicazioni | |
| Microsoft Defender for Cloud Apps | Fornisce strumenti per acquisire una comprensione più approfondita di ciò che accade nell'ambiente cloud. |
Passaggi successivi
Comprendere la responsabilità condivisa nel cloud.
Comprendere le opzioni di isolamento nel cloud di Azure contro utenti malintenzionati e non dannosi.