Proteggere e usare i criteri nelle macchine virtuali in Azure
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
È importante proteggere la macchina virtuale per le applicazioni eseguite. La protezione delle macchine virtuali può includere uno o più servizi o funzionalità di Azure che gestiscono l'accesso sicuro alle macchine virtuali e l'archiviazione sicura dei dati. Questo articolo contiene informazioni che permettono di mantenere sicure le macchine virtuali e le applicazioni.
Antimalware
L'attuale panorama delle minacce per gli ambienti cloud è dinamico e impone sempre di più una protezione efficace e continua per soddisfare i requisiti di conformità e sicurezza. Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita che aiuta a identificare e rimuovere virus, spyware e altro software dannoso. Gli avvisi possono essere configurati in modo da ricevere notifiche quando software dannoso o indesiderato prova a installare o eseguire se stesso nella macchina virtuale. Non è supportato nelle macchine virtuali che eseguono Linux o Windows Server 2008.
Microsoft Defender for Cloud
Microsoft Defender per il cloud consente di prevenire, rilevare e rispondere alle minacce alle macchine virtuali. Defender per il cloud offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri nelle sottoscrizioni di Azure, consente di rilevare le minacce che potrebbero altrimenti non essere rilevate e funziona con un ampio ecosistema di soluzioni di sicurezza.
Defender per il cloud'accesso JUST-In-Time può essere applicato nella distribuzione della macchina virtuale per bloccare il traffico in ingresso alle macchine virtuali di Azure, riducendo l'esposizione agli attacchi, fornendo al tempo stesso un facile accesso per connettersi alle macchine virtuali quando necessario. Quando è abilitato just-in-time e un utente richiede l'accesso a una macchina virtuale, Defender per il cloud controlla quali autorizzazioni l'utente ha per la macchina virtuale. Se hanno le autorizzazioni corrette, la richiesta viene approvata e Defender per il cloud configura automaticamente i gruppi di sicurezza di rete (NSG) per consentire il traffico in ingresso alle porte selezionate per un periodo di tempo limitato. Al termine di questo periodo, Defender for Cloud ripristina gli stati precedenti dei gruppi di sicurezza di rete.
Crittografia
Per i dischi gestiti sono disponibili due metodi di crittografia. Crittografia a livello di sistema operativo, che è Crittografia dischi di Azure e crittografia a livello di piattaforma, ovvero la crittografia lato server.
Modello di crittografia lato server
I dischi gestiti di Azure crittografano automaticamente i dati per impostazione predefinita quando vengono resi persistenti nel cloud. La crittografia lato server protegge i dati e consente di soddisfare gli impegni di sicurezza e conformità dell'organizzazione. I dati nei dischi gestiti di Azure sono crittografati in modo trasparente con la crittografia AES a 256 bit, una delle crittografie a blocchi più solide disponibili, conforme a FIPS 140-2.
La crittografia non influisce sulle prestazioni dei dischi gestiti. Non sono previsti costi aggiuntivi per la crittografia.
È possibile basarsi sulle chiavi gestite dalla piattaforma per la crittografia del disco gestito oppure è possibile gestire la crittografia usando le proprie chiavi. Se si sceglie di gestire la crittografia con le proprie chiavi, è possibile specificare una chiave gestita dal cliente da usare per crittografare e decrittografare tutti i dati presenti nei dischi gestiti.
Per altre informazioni sulla crittografia lato server, vedere gli articoli per Windows o Linux.
Azure Disk Encryption
Per migliorare la sicurezza e la conformità delle macchine virtuali Windows e delle macchine virtuali Linux, i dischi virtuali in Azure possono essere crittografati. I dischi virtuali delle VM di Windows vengono crittografati a riposo mediante BitLocker. I dischi virtuali delle VM Linux vengono crittografati quando sono inattivi usando dm-crypt.
Non è previsto alcun addebito per la crittografia dei dischi virtuali in Azure. Le chiavi di crittografia vengono archiviate in Azure Key Vault che usa la protezione del software oppure è possibile importare o generare le chiavi in moduli di protezione hardware certificati per gli standard FIPS 140 convalidati. Queste chiavi di crittografia vengono usate per crittografare e decrittografare i dischi virtuali collegati alla VM. È possibile esercitare il controllo su queste chiavi di crittografia e sul loro uso. Un'entità servizio Microsoft Entra fornisce un meccanismo sicuro per l'emissione di queste chiavi crittografiche quando le macchine virtuali sono accese e spente.
Insieme di credenziali delle chiavi e chiavi SSH
È possibile creare segreti e certificati come risorse e fornirli tramite Key Vault. È possibile usare Azure PowerShell e l'interfaccia della riga di comando di Azure per creare insiemi di credenziali delle chiavi rispettivamente per macchine virtuali Windows e macchine virtuali Linux. È anche possibile creare chiavi per la crittografia.
I criteri di accesso dell'insieme di credenziali delle chiavi concedono autorizzazioni separate per chiavi, segreti e certificati. È ad esempio possibile concedere a un utente l'accesso alle chiavi, ma non le autorizzazioni per i segreti. Tuttavia, le autorizzazioni per accedere a chiavi, segreti o certificati vengono definite a livello di insieme di credenziali. In altre parole, i criteri di accesso dell'insieme di credenziali delle chiavi non supportano le autorizzazioni a livello di oggetto.
Quando ci si connette alle macchine virtuali (VM), è consigliabile usare la crittografia a chiave pubblica per fornire un modo più sicuro per accedere alle VM. Questo processo comporta uno scambio di chiavi pubbliche e private mediante il comando Sicure Shell (SSH) per l'autenticazione, anziché nome utente e password. Le password sono vulnerabili agli attacchi di forza bruta, soprattutto nelle VM con connessione Internet, ad esempio i server Web. Con una coppia di chiavi SSH (Secure Shell) è possibile creare una macchina virtuale Linux che usa chiavi SSH per l'autenticazione, eliminando la necessità di immettere password per l'accesso. È anche possibile usare chiavi SSH per la connessione da una macchina virtuale Windows a una macchina virtuale Linux.
Identità gestite per le risorse di Azure
Una difficoltà comune durante la creazione di applicazioni cloud è rappresentata dalla gestione delle credenziali presenti nel codice per l'autenticazione ai servizi cloud. Garantire la sicurezza delle credenziali è fondamentale. Preferibilmente, le credenziali non vengono mai visualizzate nelle workstation per sviluppatori e non vengono archiviate nel controllo del codice sorgente. Azure Key Vault consente di archiviare in modo sicuro le credenziali, i segreti e altre chiavi, ma è necessario autenticare il codice in Key Vault per recuperarle.
La funzionalità delle identità gestite per le risorse di Azure in Microsoft Entra risolve questo problema. Questa funzionalità offre servizi di Azure con un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare l'identità per eseguire l'autenticazione a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra, incluso Key Vault, senza credenziali nel codice. Il codice in esecuzione in una macchina virtuale può richiedere un token da due endpoint accessibili solo dalla macchina virtuale. Per altre informazioni su questo servizio, esaminare la pagina di panoramica delle identità gestite per le risorse di Azure.
Criteri
I criteri di Azure possono essere usati per definire il comportamento desiderato per le macchine virtuali dell'organizzazione. Tramite i criteri è possibile imporre diverse convenzioni e regole in tutta l'organizzazione. L'imposizione del comportamento desiderato consente di attenuare i rischi, contribuendo nello stesso tempo al successo dell'organizzazione.
Controllo dell'accesso basato sui ruoli di Azure
Usando il controllo degli accessi in base al ruolo di Azure, è possibile separare i compiti all'interno del team e concedere solo la quantità di accesso agli utenti nella macchina virtuale che devono svolgere il proprio lavoro. Invece di concedere a tutti autorizzazioni senza restrizioni per la macchina virtuale, è possibile consentire solo determinate azioni. È possibile configurare il controllo di accesso per la macchina virtuale nel portale di Azure, nell'interfaccia della riga di comando di Azure o con Azure PowerShell.