Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza di rete protegge le risorse da accessi non autorizzati o attacchi controllando il traffico di rete. Azure offre un'infrastruttura di rete affidabile per supportare i requisiti di connettività delle applicazioni e dei servizi, con controlli di sicurezza a ogni livello.
Questo articolo illustra le principali funzionalità di sicurezza di rete in Azure:
- Controllo di accesso alla rete
- Firewall di Azure
- Accesso remoto sicuro e connettività cross-premise
- Disponibilità e bilanciamento del carico
- Risoluzione dei nomi
- DDoS protection
- Frontdoor di Azure
- Monitoraggio e rilevamento delle minacce
Note
Per i carichi di lavoro Web, è consigliabile usare protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS. Frontdoor di Azure con un web application firewall offre protezione a livello di piattaforma dagli attacchi DDoS a livello di rete.
Rete virtuale di Azure
La rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Ogni rete virtuale è isolata da altre reti virtuali, assicurandosi che il traffico di rete nelle distribuzioni non sia accessibile ad altri clienti di Azure. Le reti virtuali consentono alle risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali.
Altre informazioni:
Controllo di accesso alla rete
Il controllo di accesso alla rete limita la connettività da e verso dispositivi o subnet specifici all'interno di una rete virtuale. L'obiettivo è limitare l'accesso alle macchine virtuali e ai servizi a utenti e dispositivi approvati.
Gruppi di sicurezza di rete
I gruppi di sicurezza di rete (NSG) forniscono il filtro dei pacchetti con stato di base in base all'indirizzo IP e ai protocolli TCP/UDP. I gruppi di sicurezza di rete (NSG) controllano l'accesso tramite una tupla a 5 elementi (IP di origine, porta di origine, IP di destinazione, porta di destinazione, protocollo).
I gruppi di sicurezza di rete includono funzionalità per semplificare la gestione:
- Regole di sicurezza aumentata: creare regole complesse anziché più regole semplici per ottenere lo stesso risultato
- Tag del servizio: etichette gestite da Microsoft che rappresentano gruppi di indirizzi IP che vengono aggiornati in modo dinamico
- Gruppi di sicurezza delle applicazioni: organizzare le risorse in gruppi di applicazioni e controllare l'accesso in base a tali gruppi
Altre informazioni:
Endpoint di servizio
Gli endpoint del servizio di rete virtuale estendono lo spazio degli indirizzi privati della rete virtuale ai servizi di Azure tramite una connessione diretta. Gli endpoint di servizio mantengono il traffico nella rete backbone di Azure e limitano la comunicazione con i servizi supportati solo alle reti virtuali.
Altre informazioni:
Collegamento privato di Azure
Collegamento privato di Azure offre connettività privata da una rete virtuale ai servizi PaaS di Azure, ai servizi di proprietà del cliente o ai servizi partner Microsoft. Il traffico di collegamento privato rimane nella rete backbone di Microsoft Azure, eliminando l'esposizione alla rete Internet pubblica.
Altre informazioni:
Firewall di Azure
Firewall di Azure è un servizio di sicurezza del firewall di rete intelligente nativo del cloud che fornisce protezione dalle minacce per i carichi di lavoro cloud. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.
Firewall di Azure è disponibile in tre SKU:
- Firewall di Azure Basic: sicurezza semplificata per le piccole e medie imprese
- Firewall di Azure Standard: filtro L3-L7 e intelligence sulle minacce di Microsoft Cyber Security
- Firewall di Azure Premium: funzionalità avanzate, tra cui IDPS basato su firma per il rilevamento rapido degli attacchi
Altre informazioni:
- Informazioni sul firewall di Azure
- Scegliere lo SKU corretto di Firewall di Azure
- Panoramica del rilevamento e della protezione delle minacce
Accesso remoto sicuro e connettività cross-premise
Azure supporta diversi scenari di accesso remoto sicuro per la gestione delle risorse di Azure e la distribuzione di soluzioni IT ibride.
VPN da punto a sito
Le connessioni VPN da punto a sito consentono ai singoli utenti di stabilire connessioni private e sicure a una rete virtuale. Gli utenti possono accedere a macchine virtuali e servizi in Azure dopo l'autenticazione. La VPN da punto a sito supporta:
- Secure Socket Tunneling Protocol (SSTP): protocollo VPN basato su SSL proprietario (dispositivi Windows)
- VPN IKEv2: soluzione VPN IPsec basata su standard (dispositivi Mac)
- Protocollo OpenVPN: protocollo VPN basato su SSL/TLS (dispositivi Android, iOS, Windows, Linux e Mac)
Altre informazioni:
Da sito a VPN
Le connessioni gateway VPN da sito a sito stabiliscono connettività cross-premise sicura tra la rete locale e le reti virtuali di Azure. Le VPN da sito a sito usano il protocollo VPN in modalità tunnel IPsec altamente sicuro.
Il gateway VPN è essenziale per gli scenari IT ibridi in cui le parti di un servizio sono ospitate sia in Azure che in locale.
Altre informazioni:
ExpressRoute
ExpressRoute offre collegamenti WAN dedicati tra la rete locale e i servizi cloud Microsoft. Le connessioni ExpressRoute non attraversano la rete Internet pubblica, offrendo sicurezza, affidabilità, velocità e latenza inferiore rispetto alle connessioni Internet.
ExpressRoute supporta:
- ExpressRoute Direct: connettività diretta alla rete globale Microsoft
- Copertura globale di ExpressRoute: connettività tra i siti locali tramite circuiti ExpressRoute
Altre informazioni:
Peering reti virtuali
Il peering di rete virtuale connette due reti virtuali di Azure, consentendo alle risorse in entrambe le reti di comunicare tra loro. Il peering di reti virtuali utilizza l'infrastruttura backbone Microsoft, bypassando la rete Internet pubblica. Il peering supporta le connessioni all'interno della stessa regione di Azure o tra regioni diverse (peering globale VNet).
Altre informazioni:
Disponibilità e bilanciamento del carico
Il bilanciamento del carico distribuisce le connessioni tra più dispositivi per aumentare la disponibilità e le prestazioni. Azure offre diverse opzioni di bilanciamento del carico.
Bilanciatore di carico Azure
Azure Load Balancer offre un bilanciamento del carico di livello 4 a bassa latenza e prestazioni elevate per tutti i protocolli UDP e TCP. Load Balancer distribuisce il traffico in ingresso alle istanze del back-end secondo le regole configurate e le sonde di integrità.
Le funzionalità di Load Balancer includono:
- Supporto per scenari di bilanciamento del carico interno ed esterno
- Ridondanza zonale e implementazioni zonali
- Supporto delle applicazioni TCP e UDP
- Sonde di integrità per determinare la disponibilità delle istanze back-end
Altre informazioni:
Gateway delle applicazioni di Azure
Il gateway applicativo di Azure è un servizio di bilanciamento del carico del traffico Web (livello 7) che gestisce il traffico delle tue applicazioni Web. Il gateway applicativo prende decisioni di routing basate su attributi di richiesta HTTP, ad esempio il percorso URI o le intestazioni host.
Le funzionalità di Application Gateway includono:
- Web application firewall (WAF) per la protezione centralizzata
- Terminazione TLS per ridurre il sovraccarico della crittografia nei server Web
- Affinità di sessione basata su cookie
- Routing del contenuto basato su URL
- Scalabilità automatica e ridondanza geografica.
Altre informazioni:
Gestione traffico di Azure
Gestione traffico di Azure è un servizio di bilanciamento del carico del traffico basato su DNS che distribuisce il traffico in modo ottimale ai servizi tra aree di Azure globali. Gestione traffico offre disponibilità elevata e velocità di risposta instradando le richieste client all'endpoint di servizio più appropriato in base al metodo di routing del traffico e all'integrità degli endpoint.
Traffic Manager supporta diversi metodi di routing tra cui priorità, ponderato, prestazioni, geografico, multivalore e subnet routing.
Altre informazioni:
Risoluzione dei nomi
La risoluzione sicura dei nomi è fondamentale per tutti i servizi ospitati nel cloud. Le funzioni di risoluzione dei nomi compromesse possono reindirizzare le richieste a siti dannosi.
Azure DNS
DNS di Azure offre una risoluzione dei nomi ad alta disponibilità e prestazioni elevate usando l'infrastruttura di Microsoft Azure. DNS di Azure supporta:
- Domini DNS pubblici ospitati nell'infrastruttura globale di Azure
- Zone DNS private per la risoluzione dei nomi all'interno e tra reti virtuali
- Scenari DNS split-horizon in cui lo stesso nome di dominio viene risolto in modo diverso per le query private e pubbliche
Altre informazioni:
DDoS protection
Gli attacchi DDoS (Distributed Denial of Service) sono tra i principali problemi di disponibilità e sicurezza per i clienti che spostano le applicazioni nel cloud. Protezione DDoS di Azure protegge le risorse di Azure dagli attacchi DDoS.
SKU di Protezione DDoS di Azure:
- Protezione dell'infrastruttura DDoS: protezione di base abilitata per impostazione predefinita in tutte le proprietà di Azure senza costi aggiuntivi
- Protezione di rete DDoS: protezione avanzata per le risorse nelle reti virtuali con ottimizzazione adattiva, criteri di mitigazione e monitoraggio
Le funzionalità di Protezione di rete DDoS includono:
- Integrazione della piattaforma nativa con la configurazione tramite il portale di Azure
- Monitoraggio del traffico sempre attivo e mitigazione in tempo reale
- Analisi degli attacchi, inclusi i report di mitigazione e i log dei flussi
- Ottimizzazione adattiva basata sui modelli di traffico dell'applicazione
- Garanzia dei costi, inclusi il trasferimento dei dati e i crediti del servizio di scalabilità orizzontale delle applicazioni
Altre informazioni:
Frontdoor di Azure
Frontdoor di Azure è un punto di ingresso globale e scalabile che usa la rete perimetrale globale Microsoft per creare applicazioni Web veloci, sicure e ampiamente scalabili. Frontdoor offre il bilanciamento del carico di livello 7, la terminazione TLS, il routing basato su URL e la sicurezza integrata.
Le funzionalità di Frontdoor includono:
- Bilanciamento del carico HTTP globale con failover istantaneo
- Terminazione TLS al perimetro
- Routing basato sul percorso URL
- Affinità di sessione basata su cookie
- Protezione firewall per applicazioni web
- Protezione DDoS a livello di piattaforma
- Integrazione di Private Link per proteggere le origini back-end
Altre informazioni:
Monitoraggio e rilevamento delle minacce
Azure offre strumenti per monitorare la sicurezza di rete e rilevare le minacce.
Azure Network Watcher
Azure Network Watcher offre strumenti per monitorare, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.
Le funzionalità di Network Watcher includono:
- Monitoraggio connessione: monitora la connettività tra le risorse di Azure e gli endpoint
- Log dei flussi NSG: registra le informazioni sul traffico IP che passa attraverso i gruppi di sicurezza di rete
- Acquisizione pacchetti: acquisisce il traffico di rete da e verso le macchine virtuali
- Risoluzione dei problemi vpn: diagnosticare i problemi con gateway VPN e connessioni
- Diagnostica di rete: convalida la configurazione di rete e identifica i problemi di sicurezza
Altre informazioni:
Microsoft Defender per il cloud
Microsoft Defender for Cloud consente di prevenire, rilevare e rispondere alle minacce con maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. Defender for Cloud offre raccomandazioni sulla sicurezza di rete, monitora la configurazione della sicurezza di rete e segnala le minacce basate sulla rete.
Altre informazioni:
- Introduzione a Microsoft Defender per il cloud
- Proteggere le risorse di rete
- Panoramica del rilevamento delle minacce