Panoramica della sicurezza di rete di Azure

La sicurezza di rete può essere definita come il processo di protezione delle risorse da attacchi o accessi non autorizzati tramite l'applicazione di controlli al traffico di rete. L'obiettivo è garantire il transito del solo traffico legittimo. Azure dispone di una solida infrastruttura di rete per supportare i requisiti di connettività di applicazioni e servizi. La connettività di rete è possibile tra le risorse residenti in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.

Questo articolo illustra alcune delle opzioni offerte da Azure nell'area della sicurezza di rete. Gli argomenti trattati includono:

• Rete di Azure
• Controllo di accesso alla rete
• Firewall di Azure
• Accesso remoto sicuro e connettività cross-premise
• Disponibilità
• Risoluzione dei nomi
• Architettura di rete perimetrale
• Protezione DDoS di Azure
• Frontdoor di Azure
• Gestione traffico
• Monitoraggio e rilevamento delle minacce

Nota

Per i carichi di lavoro Web, è consigliabile usare la Protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS emergenti. Un'altra opzione consiste nell'usare Frontdoor di Azure insieme a un web application firewall. Frontdoor di Azure offre protezione a livello di piattaforma contro gli attacchi DDoS a livello di rete.

Rete di Azure

Azure richiede che le macchine virtuali siano connesse a una rete virtuale di Azure. Una rete virtuale è un costrutto logico basato sull'infrastruttura di rete fisica di Azure. Ogni rete virtuale è isolata da tutte le altre. Ciò aiuta a garantire che il traffico di rete nelle distribuzioni di un utente non sia accessibile ad altri clienti di Azure.

Altre informazioni:

• Panoramica della rete virtuale

Controllo di accesso alla rete

Il controllo di accesso alla rete consiste nel limitare la connettività da e verso subnet o dispositivi specifici all'interno di una rete virtuale. L'obiettivo del controllo di accesso alla rete è di limitare agli utenti e ai dispositivi autorizzati l'accesso a macchine virtuali e servizi. I controlli di accesso si basano sulla decisione di consentire o negare connessioni da e verso una macchina virtuale o un servizio.

Azure supporta numerosi tipi di controllo di accesso alla rete, tra cui:

• Controllo a livello rete
• Controllo di route e tunneling forzato
• Appliance di sicurezza di rete virtuale

Controllo a livello rete

Qualsiasi distribuzione sicura richiede alcune misure di controllo di accesso alla rete. Lo scopo del controllo di accesso alla rete è di limitare la comunicazione delle macchine virtuali ai sistemi necessari e di bloccare gli altri tentativi di comunicazione.

Nota

I firewall di archiviazione vengono analizzati nell’articoloPanoramica sulla sicurezza di archiviazione di Azure

Regole di sicurezza di rete (NSG)

Se è necessario un controllo di accesso di base a livello di rete, basato sull'indirizzo IP e sul protocollo TCP o UDP, è possibile usare i gruppi di sicurezza di rete (NSG). Un gruppo di sicurezza di rete è un firewall di base e con stato che filtra i pacchetti e consente di gestire l'accesso in base a 5 tuple. I gruppi di sicurezza di rete includono funzionalità che semplificano la gestione e riducono le probabilità di errori di configurazione:

• Le regole di sicurezza ottimizzate semplificano la definizione delle regole di sicurezza di rete e consentono di creare regole complesse invece di molteplici regole semplici per ottenere lo stesso risultato.
• I tag di servizio sono etichette create da Microsoft che rappresentano un gruppo di indirizzi IP. Vengono aggiornati in modo dinamico per includere gli intervalli IP che soddisfano le condizioni che definiscono l'inclusione nell'etichetta. Se si vuole ad esempio creare una regola applicabile a tutta l'archiviazione di Azure nell'area orientale, è possibile usare Storage.EastUS.
• I gruppi di sicurezza delle applicazioni consentono di distribuire risorse a gruppi di applicazioni e di controllare l'accesso a queste risorse tramite la creazione di regole che usano questi gruppi di applicazioni. Se, ad esempio, sono stati distribuiti server Web al gruppo di applicazioni "Server Web", è possibile creare una regola che applichi un gruppo di sicurezza di rete che consente il traffico 443 da Internet a tutti i sistemi inclusi nel gruppo di applicazioni "Server Web".

Gli NSG non forniscono ispezione a livello dell'applicazione o controlli di accesso autenticato.

Altre informazioni:

• Gruppi di sicurezza di rete

Accesso VM JIT (Just-In-Time) di Microsoft Defender per il cloud

Microsoft Defender per il cloud è in grado di gestire NSG o VM e bloccare l'accesso alla VM fino a quando un utente con autorizzazioni del controllo degli accessi in base al ruolo di Azure (Azure RBAC) non richiede l'accesso. Quando l'utente è stato autorizzato, Defender per il cloud modifica i NSG per consentire l'accesso alle porte selezionate per il tempo specificato. Alla scadenza del tempo specificato, i gruppi di sicurezza di rete vengono ripristinati allo stato protetto precedente.

Altre informazioni:

• Accesso JIT (Just-In-Time) di Microsoft Defender per il cloud

Endpoint di servizio

Gli endpoint di servizio sono un altro modo per applicare il controllo sul traffico. È possibile limitare la comunicazione con i servizi supportati alle sole reti virtuali su una connessione diretta. Il traffico che transita dalla rete virtuale al servizio di Azure specificato rimane nella rete backbone di Microsoft Azure.

Altre informazioni:

• Endpoint di servizio

Controllo di route e tunneling forzato

La possibilità di controllare il comportamento di routing delle reti virtuali è fondamentale. Se il routing non è configurato correttamente, è possibile che le applicazioni e i servizi ospitati nella macchina virtuale si connettano a dispositivi non autorizzati, inclusi sistemi di proprietà e gestiti da potenziali utenti malintenzionati.

La rete di Azure supporta la personalizzazione del comportamento di routing per il traffico di rete nelle reti virtuali. Ciò consente di modificare le voci predefinite della tabella di routing nella rete virtuale. Il controllo del comportamento di routing consente di assicurarsi che tutto il traffico in ingresso o in uscita da un determinato dispositivo o gruppo di dispositivi nella rete virtuale avvenga attraverso un percorso specifico.

Si supponga ad esempio che nella rete virtuale sia presente un'appliance di sicurezza di rete virtuale. Si vuole essere certi che tutto il traffico da e verso la rete virtuale passi attraverso l'appliance di sicurezza virtuale. È possibile a tale scopo configurare route definite dall'utente in Azure.

Il tunneling forzato è un meccanismo che può essere usato per assicurarsi che ai servizi sia impedito di stabilire una connessione a dispositivi in Internet. Questo approccio è diverso dall'accettare connessioni in ingresso e rispondere alle richieste. I server Web front-end devono rispondere alle richieste dagli host in Internet e, di conseguenza, il traffico originato da Internet è consentito in ingresso a questi server Web, che sono autorizzati a rispondere.

Non si vuole invece consentire a un server Web front-end di avviare una richiesta in uscita. Tali richieste possono rappresentare un rischio per la sicurezza perché queste connessioni possono essere usate per scaricare malware. Anche nel caso in cui si voglia consentire ai server front-end di avviare richieste in uscita verso Internet, è consigliabile imporre il passaggio tramite proxy Web locali. Ciò consente di usufruire dei vantaggi della registrazione e del filtro degli URL.

Per evitare tutto questo, è preferibile usare invece il tunneling forzato. Quando si abilita il tunneling forzato, tutte le connessioni verso Internet devono forzatamente passare attraverso il gateway locale. È possibile configurare il tunneling forzato usufruendo dei vantaggi delle route definite dall'utente.

Altre informazioni:

• Instradamento del traffico della rete virtuale

Appliance di sicurezza di rete virtuale

Anche se i gruppi di sicurezza di rete, le route definite dall'utente e il tunneling forzato offrono un livello di sicurezza nei livelli di rete e di trasporto del modello OSI, potresti anche voler abilitare la sicurezza a livello di applicazione.

Ad esempio, i requisiti di sicurezza possono includere:

• Autenticazione e autorizzazione prima di consentire l'accesso all'applicazione
• Rilevamento delle intrusioni e relativa risposta
• Ispezione a livello dell'applicazione per i protocolli di alto livello
• Filtro degli URL
• Antivirus e antimalware a livello di rete
• Protezione anti-robot
• Controllo di accesso all'applicazione
• Protezione DDoS aggiuntiva, oltre alla protezione DDoS inclusa nell'infrastruttura stessa di Azure

È possibile accedere a queste funzionalità di sicurezza di rete avanzate usando una soluzione dei partner di Azure. Le soluzioni di sicurezza di rete più recenti offerte dai partner Azure sono disponibili in Azure Marketplace cercando "sicurezza" e "sicurezza di rete".

Firewall di Azure

Firewall di Azure è un servizio di sicurezza del firewall di rete intelligente e nativo del cloud che fornisce protezione dalle minacce per i carichi di lavoro del cloud in esecuzione in Azure. È un firewall completo con stato distribuito come servizio con disponibilità elevata incorporata e scalabilità cloud illimitata. Firewall di Azure esamina sia il traffico a est-ovest che a nord-sud.

Firewall di Azure è disponibile in tre SKU: Basic, Standard e Premium.

• Firewall di Azure Basic offre una sicurezza semplificata simile allo SKU Standard, ma senza funzionalità avanzate.
• Firewall di Azure Standard fornisce feed di intelligence sulle minacce e filtro L3-L7 direttamente da Microsoft Cyber Security.
• Firewall di Azure Premium include funzionalità avanzate, ad esempio IDPS basate sulla firma, per il rilevamento rapido degli attacchi identificando modelli specifici.

Altre informazioni:

• Che cos'è Firewall di Azure

Accesso remoto sicuro e connettività cross-premise

Le operazioni di installazione, configurazione e gestione delle risorse di Azure devono essere eseguite in modalità remota. È inoltre possibile che si voglia distribuire soluzioni di IT ibrido costituite da componenti che si trovano sia in locale che nel cloud pubblico di Azure. Questi scenari richiedono l'accesso remoto sicuro.

Rete di Azure supporta gli scenari di accesso remoto sicuro seguenti:

• Connessione di workstation individuali a una rete virtuale
• Connessione della rete locale a una rete virtuale tramite una VPN
• Connessione della rete locale a una rete virtuale tramite un collegamento WAN dedicato
• Connessione di reti virtuali tra loro

Connessione di workstation individuali a una rete virtuale

È possibile che si desideri consentire a singoli sviluppatori o al personale operativo di gestire le macchine virtuali e i servizi in Azure. Ad esempio, se è necessario accedere a una macchina virtuale in una rete virtuale, ma i criteri di sicurezza impediscono l'accesso remoto RDP o SSH a singole macchine virtuali, è possibile usare una connessione VPN da punto a sito .

Una connessione VPN da punto a sito consente di stabilire una connessione privata e sicura tra l'utente e la rete virtuale. Dopo aver stabilito la connessione VPN, l'utente può eseguire RDP o SSH tramite il collegamento VPN in qualsiasi macchina virtuale nella rete virtuale, purché siano autenticati e autorizzati. La VPN da punto a sito supporta:

• Secure Socket Tunneling Protocol (SSTP): Protocollo VPN proprietario basato su SSL che può penetrare nei firewall perché la maggior parte dei firewall apre la porta TCP 443, usata da TLS/SSL. SSTP è supportato nei dispositivi Windows (Windows 7 e versioni successive).
• VPN IKEv2: Soluzione VPN IPsec basata su standard che può essere usata per connettersi dai dispositivi Mac (OSX versioni 10.11 e successive).
• Protocollo OpenVPN: Protocollo VPN basato su SSL/TLS in grado di penetrare nei firewall, poiché la maggior parte dei firewall apre la porta TCP 443 in uscita, usata da TLS. OpenVPN può essere usato per connettersi da dispositivi Android, iOS (versioni 11.0 e successive), Windows, Linux e Mac (versioni di macOS 10.13 e successive). Le versioni supportate sono TLS 1.2 e TLS 1.3 in base all'handshake TLS.

Altre informazioni:

• Informazioni sul routing VPN da punto a sito

Connettere la rete locale a una rete virtuale con un gateway VPN

Per connettere l'intera rete aziendale o segmenti specifici a una rete virtuale, è consigliabile usare una VPN da sito a sito. Questo approccio è comune negli scenari IT ibridi in cui parti di un servizio sono ospitate sia in Azure che in locale. Ad esempio, potrebbero essere presenti server Web front-end in Azure e database back-end in locale. Le VPN da sito a sito migliorano la sicurezza della gestione delle risorse di Azure e abilitano scenari come l'estensione dei controller di dominio di Active Directory in Azure.

Una VPN da sito a sito differisce da una VPN da punto a sito in quanto connette un'intera rete (ad esempio la rete locale) a una rete virtuale, anziché solo un singolo dispositivo. Le VPN da sito a sito usano il protocollo VPN in modalità tunnel IPsec altamente sicuro per stabilire queste connessioni.

Altre informazioni:

• Informazioni sul gateway VPN

Connessione della rete locale a una rete virtuale tramite un collegamento WAN dedicato

Le connessioni VPN da punto a sito e da sito a sito sono utili per abilitare la connettività cross-premise. Tuttavia, presentano alcune limitazioni:

• Le connessioni VPN trasmettono i dati su Internet, esponendoli a potenziali rischi di sicurezza associati alle reti pubbliche. Inoltre, non è possibile garantire l'affidabilità e la disponibilità delle connessioni Internet.
• Le connessioni VPN alle reti virtuali potrebbero non fornire larghezza di banda sufficiente per determinate applicazioni, in genere con un massimo di circa 200 Mbps.

Per le organizzazioni che richiedono i livelli più elevati di sicurezza e disponibilità per le connessioni cross-premise, i collegamenti WAN dedicati sono spesso preferiti. Azure offre soluzioni come ExpressRoute, ExpressRoute Direct ed ExpressRoute Global Reach per facilitare queste connessioni dedicate tra la rete locale e le reti virtuali di Azure.

Altre informazioni:

• Panoramica di ExpressRoute
• ExpressRoute Direct
• Copertura globale di ExpressRoute

Connessione di reti virtuali tra loro

È possibile usare più reti virtuali per le distribuzioni per vari motivi, ad esempio semplificare la gestione o aumentare la sicurezza. Indipendentemente dalla motivazione, possono verificarsi momenti in cui si desidera che le risorse in reti virtuali diverse si connettano tra loro.

Un'opzione consiste nel far sì che i servizi su una rete virtuale si connettano ai servizi su un'altra rete virtuale effettuando un "loop back" attraverso Internet. Ciò significa che la connessione viene avviata in una rete virtuale, passa attraverso Internet e quindi raggiunge la rete virtuale di destinazione. Tuttavia, questo espone la connessione ai rischi di sicurezza intrinseci nella comunicazione basata su Internet.

Un'opzione migliore consiste nel creare una VPN da sito a sito che connette le due reti virtuali. Questo metodo usa lo stesso protocollo della modalità tunnel IPsec della connessione VPN cross-premise da sito a sito menzionata in precedenza.

Il vantaggio di questo approccio è che la connessione VPN viene stabilita nell'infrastruttura di rete di Azure, offrendo un livello di sicurezza aggiuntivo rispetto alle VPN da sito a sito che si connettono tramite Internet.

Altre informazioni:

• Configurare una connessione da rete virtuale a rete virtuale tramite il portale di Azure

Un altro metodo per connettere le reti virtuali consiste nel peering di reti virtuali. Il peering tra reti virtuali consente una comunicazione diretta tra due reti virtuali Azure tramite l'infrastruttura backbone di Microsoft, bypassando la rete Internet pubblica. Questa funzionalità supporta il peering all'interno della stessa area o in aree di Azure diverse. È anche possibile usare gruppi di sicurezza di rete (NSG) per controllare e limitare la connettività tra subnet o sistemi all'interno delle reti con peering.

Disponibilità

La disponibilità è fondamentale per qualsiasi programma di sicurezza. Se utenti e sistemi non possono accedere alle risorse necessarie, il servizio viene effettivamente compromesso. Azure offre tecnologie di rete che supportano meccanismi a disponibilità elevata, tra cui:

• Bilanciamento del carico basato su HTTP
• Bilanciamento del carico a livello di rete
• Bilanciamento del carico globale

Il bilanciamento del carico distribuisce le connessioni in modo uniforme tra più dispositivi, mirando a:

• Aumentare la disponibilità: Distribuendo le connessioni, il servizio rimane operativo anche se uno o più dispositivi non sono più disponibili. I dispositivi rimanenti continuano a servire il contenuto.
• Migliorare le prestazioni: La distribuzione delle connessioni riduce il carico su qualsiasi singolo dispositivo, distribuendo le richieste di elaborazione e memoria in più dispositivi.
• Facilitare la scalabilità: Con l'aumentare della domanda, è possibile aggiungere altri dispositivi al servizio di bilanciamento del carico, consentendo di gestire più connessioni.

Bilanciamento del carico basato su HTTP

Le organizzazioni che eseguono servizi basati sul Web spesso traggono vantaggio dall'uso di un servizio di bilanciamento del carico basato su HTTP per garantire prestazioni e disponibilità elevate. A differenza dei tradizionali servizi di bilanciamento del carico basati sulla rete che si basano su protocolli di rete e livello di trasporto, i servizi di bilanciamento del carico basati su HTTP prendere decisioni in base alle caratteristiche del protocollo HTTP.

Il gateway applicazione di Azure e Frontdoor di Azure offrono il bilanciamento del carico basato su HTTP per i servizi Web. Entrambi i servizi supportano:

• Affinità di sessione basata su cookie: Assicura che le connessioni stabilite a un server rimangano coerenti tra il client e il server, mantenendo la stabilità delle transazioni.
• Offload TLS: Crittografa le sessioni tra il client e il servizio di bilanciamento del carico usando HTTPS (TLS). Per migliorare le prestazioni, la connessione tra il servizio di bilanciamento del carico e il server Web può usare HTTP (non crittografato), riducendo il sovraccarico di crittografia nei server Web e consentendo loro di gestire le richieste in modo più efficiente.
• Routing del contenuto basato su URL: Consente al servizio di bilanciamento del carico di inoltrare le connessioni in base all'URL di destinazione, offrendo maggiore flessibilità rispetto alle decisioni basate sugli indirizzi IP.
• Web Application Firewall: Offre una protezione centralizzata per le applicazioni Web da minacce e vulnerabilità comuni.

Altre informazioni:

• Panoramica del gateway applicazione
• Panoramica di Frontdoor di Azure
• Panoramica di Web Application Firewall

Bilanciamento del carico a livello di rete

A differenza del bilanciamento del carico basato su HTTP, il bilanciamento del carico a livello di rete prende decisioni in base all'indirizzo IP e ai numeri di porta (TCP o UDP). Azure Load Balancer offre il bilanciamento del carico a livello di rete con le caratteristiche chiave seguenti:

• Bilancia il traffico in base all'indirizzo IP e ai numeri di porta.
• Supporta qualsiasi protocollo del livello applicazione.
• Distribuisce il traffico alle macchine virtuali di Azure e alle istanze del ruolo del servizio cloud.
• Può essere usato sia per applicazioni con connessione Internet (bilanciamento del carico esterno) che per applicazioni e macchine virtuali non con connessione Internet (bilanciamento del carico interno).
• Include il monitoraggio degli endpoint per rilevare e rispondere all'indisponibilità del servizio.

Altre informazioni:

• Panoramica del bilanciamento del carico interno

Bilanciamento del carico globale

Alcune organizzazioni vogliono poter contare sul massimo livello di disponibilità possibile. Un modo per raggiungere questo obiettivo consiste nell'ospitare applicazioni in data center distribuiti a livello globale. Quando un'applicazione è ospitata in data center dislocati in tutto il mondo, un'intera area geopolitica può diventare non disponibile, ma l'applicazione continua a essere operativa.

Questa strategia di bilanciamento del carico può avvantaggiare le prestazioni. È possibile indirizzare le richieste per il servizio al data center più vicino al dispositivo che effettua la richiesta.

In Azure è possibile sfruttare i vantaggi del bilanciamento del carico globale usando Gestione traffico di Azure per il bilanciamento del carico basato su DNS, Il servizio di bilanciamento del carico globale per il bilanciamento del carico del livello di trasporto o Frontdoor di Azure per il bilanciamento del carico basato su HTTP.

Altre informazioni:

• Gestione traffico di Azure
• Panoramica di Frontdoor di Azure
• Panoramica del Load Balancer globale

Risoluzione dei nomi

La risoluzione dei nomi è essenziale per tutti i servizi ospitati in Azure. Dal punto di vista della sicurezza, compromettere la funzione di risoluzione dei nomi può consentire agli utenti malintenzionati di reindirizzare le richieste dai siti a siti dannosi. Pertanto, la risoluzione sicura dei nomi è fondamentale per tutti i servizi ospitati nel cloud.

Esistono due tipi di risoluzione dei nomi da considerare:

• Risoluzione dei nomi interna: Usato dai servizi all'interno delle reti virtuali, delle reti locali o di entrambi. Questi nomi non sono accessibili tramite Internet. Per una sicurezza ottimale, assicurarsi che lo schema di risoluzione dei nomi interno non sia esposto agli utenti esterni.
• Risoluzione dei nomi esterni: Utilizzata da persone e dispositivi al di fuori delle reti interne e virtuali. Questi nomi sono visibili su Internet e stabiliscono connessioni dirette ai vostri servizi basati sul cloud.

Per la risoluzione dei nomi interna sono disponibili due opzioni:

• Server DNS di rete virtuale: Quando si crea una nuova rete virtuale, Azure fornisce un server DNS in grado di risolvere i nomi delle macchine all'interno di tale rete virtuale. Questo server DNS è gestito da Azure e non è configurabile, contribuendo a garantire la sicurezza della risoluzione dei nomi.
• Porta il tuo server DNS: È possibile distribuire un server DNS di propria scelta all'interno della propria rete virtuale. Può trattarsi di un server DNS integrato di Active Directory o di una soluzione server DNS dedicata di un partner di Azure, disponibile in Azure Marketplace.

Altre informazioni:

• Panoramica della rete virtuale
• Gestire i server DNS usati da una rete virtuale

Per la risoluzione dei nomi esterna sono disponibili due opzioni:

• Ospitare il server DNS personalizzato esterno in locale.
• Usare un provider di servizi DNS esterno.

Le organizzazioni di grandi dimensioni ospitano spesso i propri server DNS in locale a causa delle competenze di rete e della presenza globale.

Tuttavia, per la maggior parte delle organizzazioni, l'uso di un provider di servizi DNS esterno è preferibile. Questi provider offrono disponibilità elevata e affidabilità per i servizi DNS, che è fondamentale perché gli errori DNS possono rendere i servizi con connessione Internet non raggiungibili.

DNS di Azure offre una soluzione DNS esterna a disponibilità elevata e ad alte prestazioni. Sfrutta l'infrastruttura globale di Azure, consentendo di ospitare il dominio in Azure con le stesse credenziali, API, strumenti e fatturazione degli altri servizi di Azure. Inoltre, trae vantaggio dai controlli di sicurezza affidabili di Azure.

Altre informazioni:

• Panoramica di DNS di Azure
• Le zone private DNS di Azure consentono di configurare nomi DNS privati per le risorse di Azure anziché usare i nomi assegnati automaticamente, senza la necessità di aggiungere una soluzione DNS personalizzata.

Architettura di rete perimetrale

Molte organizzazioni di grandi dimensioni usano reti perimetrali per segmentare le proprie reti e creare una zona buffer tra Internet e i servizi che offrono. La parte di rete perimetrale della rete è considerata una zona a bassa sicurezza e nessun asset critico viene inserito in quel segmento di rete. Si vedono in genere dispositivi di sicurezza di rete con un'interfaccia di rete sul segmento di rete perimetrale. Un'altra interfaccia di rete è connessa a una rete dotata di macchine virtuali e servizi che accettano le connessioni in ingresso da Internet.

È possibile progettare una rete perimetrale in molti modi diversi. La decisione di distribuire una rete perimetrale e l'eventuale tipo di rete perimetrale da usare varia in base ai requisiti di sicurezza di rete.

Altre informazioni:

• Reti perimetrali per zone di sicurezza

Protezione DDoS di Azure

Gli attacchi DDoS (Distributed Denial of Service) sono minacce significative per la disponibilità e la sicurezza per le applicazioni cloud. Questi attacchi mirano a esaurire le risorse di un'applicazione, rendendolo inaccessibile agli utenti legittimi. Qualsiasi endpoint raggiungibile pubblicamente può essere una destinazione.

Le funzionalità di Protezione DDoS includono:

• Integrazione della piattaforma nativa: Completamente integrato in Azure con la configurazione disponibile tramite il portale di Azure. Comprende le risorse e le relative configurazioni.
• Protezione dei tasti di scelta rapida: Protegge automaticamente tutte le risorse in una rete virtuale non appena la protezione DDoS è abilitata, senza richiedere l'intervento dell'utente. La mitigazione inizia immediatamente al rilevamento degli attacchi.
• Monitoraggio del traffico always-on: Monitora il traffico dell'applicazione 24/7 per i segnali di attacchi DDoS e avvia la mitigazione quando i criteri di protezione vengono violati.
• Report di mitigazione degli attacchi: Fornisce informazioni dettagliate sugli attacchi tramite dati aggregati del flusso di rete.
• Log del flusso di mitigazione degli attacchi: Offre log quasi in tempo reale del traffico eliminato e inoltrato durante un attacco DDoS attivo.
• Ottimizzazione adattiva: Apprende i modelli di traffico dell'applicazione nel tempo e modifica il profilo di protezione di conseguenza. Fornisce la protezione da livello 3 a livello 7 quando viene usata con un web application firewall.
• Scalabilità estesa di mitigazione: Può attenuare oltre 60 tipi di attacco diversi con capacità globale per gestire gli attacchi DDoS noti più grandi.
• Metriche di attacco: Le metriche riepilogate di ogni attacco sono disponibili tramite Monitoraggio di Azure.
• Avviso di attacco: Avvisi configurabili per l'avvio, l'arresto e la durata di un attacco, l'integrazione con strumenti come i log di Monitoraggio di Azure, Splunk, Archiviazione di Azure, Posta elettronica e il portale di Azure.
• Garanzia dei costi: Offre crediti per il trasferimento dei dati e il servizio di scalabilità orizzontale delle applicazioni per gli attacchi DDoS documentati.
• Risposta rapida DDoS: Fornisce l'accesso a un team di risposta rapida durante un attacco attivo per l'analisi, le mitigazioni personalizzate e l'analisi post-attacco.

Altre informazioni:

• Panoramica di Protezione DDoS

Frontdoor di Azure

Frontdoor di Azure consente di definire, gestire e monitorare il routing globale del traffico Web, ottimizzandolo per prestazioni e disponibilità elevata. Consente di creare regole web application firewall (WAF) personalizzate per proteggere i carichi di lavoro HTTP/HTTPS dallo sfruttamento in base a indirizzi IP client, codici paese e parametri HTTP. Frontdoor supporta inoltre regole di limitazione della velocità per combattere il traffico di bot dannosi, include l'offload TLS e fornisce l'elaborazione a livello di applicazione per richiesta HTTP/HTTPS.

La piattaforma Frontdoor è protetta dalla protezione DDoS a livello di infrastruttura di Azure. Per una protezione avanzata, è possibile abilitare Protezione di rete DDoS di Azure nelle reti virtuali per proteggere le risorse dagli attacchi a livello di rete (TCP/UDP) tramite l'ottimizzazione automatica e la mitigazione. Come proxy inverso di livello 7, Frontdoor consente solo al traffico Web di passare attraverso i server back-end, bloccando altri tipi di traffico per impostazione predefinita.

Nota

Per i carichi di lavoro Web, è consigliabile usare la Protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS emergenti. Un'altra opzione consiste nell'usare Frontdoor di Azure insieme a un web application firewall. Frontdoor di Azure offre protezione a livello di piattaforma contro gli attacchi DDoS a livello di rete.

Altre informazioni:

• Per altre informazioni sul set di funzionalità completo di Frontdoor di Azure è possibile consultare la Panoramica di Frontdoor di Azure

Gestione traffico di Azure

Gestione traffico di Azure è un servizio di bilanciamento del carico del traffico basato su DNS che distribuisce il traffico ai servizi tra aree di Azure globali, garantendo disponibilità elevata e velocità di risposta. Usa DNS per instradare le richieste client all'endpoint di servizio più adatto in base a un metodo di routing del traffico e all'integrità degli endpoint. Un endpoint può essere qualsiasi servizio con connessione Internet ospitato all'interno o all'esterno di Azure. Gestore del traffico monitora continuamente gli endpoint ed evita di indirizzare il traffico agli endpoint che risultano non disponibili.

Altre informazioni:

• Panoramica di Gestione traffico di Azure

Monitoraggio e rilevamento delle minacce

Azure offre funzionalità che aiutano in questa area chiave con il rilevamento precoce, il monitoraggio, la raccolta e l'analisi del traffico di rete.

Azure Network Watcher

Azure Network Watcher offre strumenti per risolvere e identificare i problemi di sicurezza.

• Visualizzazione gruppo di sicurezza: controlla e garantisce la conformità della sicurezza delle macchine virtuali confrontando i criteri di base con regole efficaci, consentendo di identificare la deviazione della configurazione.
• Acquisizione pacchetti: acquisisce il traffico di rete da e verso le macchine virtuali, supportando la raccolta di statistiche di rete e la risoluzione dei problemi delle applicazioni. Può anche essere attivato da Funzioni di Azure in risposta a avvisi specifici.

Per altre informazioni, vedere Panoramica del monitoraggio di Azure Network Watcher.

Nota

Per gli aggiornamenti più recenti sulla disponibilità e sullo stato del servizio, visitare la pagina degli aggiornamenti di Azure.

Microsoft Defender for Cloud

Microsoft Defender per il cloud consente di prevenire, rilevare e rispondere alle minacce, e offre maggiore visibilità e controllo della sicurezza delle risorse di Azure. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio set di soluzioni di sicurezza.

Defender per il cloud consente di ottimizzare e monitorare la sicurezza di rete tramite:

• Suggerimenti per la sicurezza di rete
• Monitoraggio dello stato della configurazione della sicurezza di rete
• Avvisi relativi alle minacce basate sulla rete a livello di endpoint e di rete.

Altre informazioni:

• Introduzione a Microsoft Defender per il cloud

TAP di rete virtuale

Un TAP (Terminal Access Point) di rete virtuale di Azure consente di trasmettere il traffico di rete della macchina virtuale come flusso continuo a un agente di raccolta di pacchetti di rete o a uno strumento di analisi. L'agente di raccolta o lo strumento di analisi viene fornito da un partner appliance virtuale di rete. È possibile usare la stessa risorsa TAP di rete virtuale per aggregare il traffico da più interfacce di rete nella stessa sottoscrizione o in sottoscrizioni diverse.

Altre informazioni:

• TAP di rete virtuale

Registrazione

La registrazione a livello di rete è una funzione chiave per qualsiasi scenario di sicurezza di rete. In Azure è possibile registrare le informazioni ottenute per i gruppi di sicurezza di rete per avere informazioni di registrazione a livello di rete. Con la registrazione dei gruppi di sicurezza di rete si ottengono informazioni da:

• Log attività. Vengono usati per visualizzare tutte le operazioni inviate alle sottoscrizioni di Azure. Questi log sono abilitati per impostazione predefinita e possono essere usati nel portale di Azure. Nelle versioni precedenti sono noti come "log di controllo" o "log operativi".
• Log eventi. Forniscono informazioni sulle regole applicate ai gruppi di sicurezza di rete.
• Log contatori. Consentono di sapere quante volte ogni regola dei gruppi di sicurezza di rete è stata applicata per rifiutare o consentire il traffico.

Per visualizzare e analizzare questi log è anche possibile usare Microsoft Power BI, uno strumento avanzato di visualizzazione dei dati. Altre informazioni:

• Azure Monitor Logs per gruppi di sicurezza di rete (NSG)