Panoramica: applicare i principi Zero Trust ad Azure IaaS
Nota
L'imminente livestream partecipa al team di Azure FastTrack durante la discussione di questo articolo. 23 ottobre 2024 | 10.00 - 11.00 (UTC-07.00) Ora pacifico (Stati Uniti e Canada). Registrati qui.
Riepilogo: per applicare i principi Zero Trust ai componenti e all'infrastruttura IaaS di Azure, è prima necessario comprendere l'architettura di riferimento comune e i componenti di archiviazione di Azure, macchine virtuali e reti virtuali spoke e hub.
Questa serie di articoli illustra come applicare i principi di Zero Trust ai carichi di lavoro in Microsoft Azure IaaS in base a un approccio multidisciplinare per applicare i principi Zero Trust. Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente:
- Verificare esplicita
- Usare l'accesso con privilegi minimi
- Presunzione di violazione
L'implementazione della mentalità Zero Trust per "presupporre violazioni, non considerare mai attendibili, verificare sempre" richiede modifiche all'infrastruttura cloud, alla strategia di distribuzione e all'implementazione.
Queste serie iniziali di cinque articoli (inclusa questa introduzione) illustrano come applicare l'approccio Zero Trust a uno scenario aziendale IT comune basato sui servizi di infrastruttura. Il lavoro è suddiviso in unità che possono essere configurate insieme come segue:
- Archiviazione di Azure
- Macchine virtuali
- Reti virtuali spoke per carichi di lavoro basati su macchine virtuali
- Reti virtuali hub per supportare l'accesso a molti carichi di lavoro in Azure
Per altre informazioni, vedere Applicare principi Zero Trust a Desktop virtuale Azure.
Nota
Altri articoli verranno aggiunti a questa serie in futuro, tra cui il modo in cui le organizzazioni possono applicare un approccio Zero Trust alle applicazioni, alle reti, ai dati e ai servizi DevOps basati su ambienti aziendali IT reali.
Importante
Questo materiale sussidiario zero trust descrive come usare e configurare diverse soluzioni e funzionalità di sicurezza disponibili in Azure per un'architettura di riferimento. Diverse altre risorse forniscono anche indicazioni sulla sicurezza per queste soluzioni e funzionalità, tra cui:
Per descrivere come applicare un approccio Zero Trust, questa guida è destinata a un modello comune usato nell'ambiente di produzione da molte organizzazioni: un'applicazione basata su macchine virtuali ospitata in una rete virtuale (e un'applicazione IaaS). Si tratta di un modello comune per le organizzazioni che eseguono la migrazione di applicazioni locali ad Azure, talvolta definite "lift-and-shift". L'architettura di riferimento include tutti i componenti necessari per supportare questa applicazione, inclusi i servizi di archiviazione e una rete virtuale hub.
L'architettura di riferimento riflette un modello di distribuzione comune negli ambienti di produzione. Non si basa sulle zone di destinazione su scala aziendale consigliate in Cloud Adoption Framework (CAF), anche se molte delle procedure consigliate in CAF sono incluse nell'architettura di riferimento, ad esempio l'uso di una rete virtuale dedicata per ospitare i componenti che brokerano l'accesso all'applicazione (rete virtuale hub).
Per informazioni sulle linee guida consigliate nelle zone di destinazione di Azure di Cloud Adoption Framework, vedere queste risorse:
Architettura di riferimento
La figura seguente illustra l'architettura di riferimento per questa guida Zero Trust.
Questa architettura contiene:
- Più componenti e elementi IaaS, inclusi diversi tipi di utenti e consumer IT che accedono all'app da siti diversi. ad esempio Azure, Internet, locale e succursali.
- Applicazione a tre livelli comune contenente un livello front-end, un livello applicazione e un livello dati. Tutti i livelli vengono eseguiti in macchine virtuali all'interno di una rete virtuale denominata SPOKE. L'accesso all'app è protetto da un'altra rete virtuale denominata HUB che contiene servizi di sicurezza aggiuntivi.
- Alcuni dei servizi PaaS più usati in Azure che supportano le applicazioni IaaS, tra cui il controllo degli accessi in base al ruolo e l'ID Microsoft Entra, che contribuiscono all'approccio alla sicurezza Zero Trust.
- BLOB di archiviazione e file di archiviazione che forniscono l'archiviazione degli oggetti per le applicazioni e i file condivisi dagli utenti.
Questa serie di articoli illustra le raccomandazioni per l'implementazione di Zero Trust per l'architettura di riferimento risolvendo ognuna di queste parti più grandi ospitate in Azure, come illustrato di seguito.
Il diagramma illustra le aree più grandi dell'architettura affrontate da ogni articolo di questa serie:
È importante notare che le linee guida contenute in questa serie di articoli sono più specifiche per questo tipo di architettura rispetto alle linee guida fornite in Cloud Adoption Framework e nelle architetture delle zone di destinazione di Azure. Se sono state applicate le linee guida in una di queste risorse, assicurarsi di esaminare anche questa serie di articoli per consigli aggiuntivi.
Informazioni sui componenti di Azure
Il diagramma dell'architettura di riferimento fornisce una visione topologica dell'ambiente. È anche utile vedere logicamente come ognuno dei componenti può essere organizzato all'interno dell'ambiente Azure. Il diagramma seguente consente di organizzare le sottoscrizioni e i gruppi di risorse. Le sottoscrizioni di Azure potrebbero essere organizzate in modo diverso.
In questo diagramma l'infrastruttura di Azure è contenuta all'interno di un tenant di Microsoft Entra ID. Nella tabella seguente vengono descritte le diverse sezioni illustrate nel diagramma.
Sottoscrizioni di Azure
È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo articolo è descritto nella documentazione di Cloud Adoption Framework e della zona di destinazione di Azure a cui si fa riferimento in precedenza. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dalla modalità di separazione dell'ambiente e dal numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare autorizzazioni con il controllo degli accessi in base al ruolo e i criteri di Azure a un gruppo di sottoscrizioni invece di configurare ogni sottoscrizione singolarmente.
Microsoft Defender per il cloud e Monitoraggio di Azure
Per ogni sottoscrizione di Azure è disponibile un set di soluzioni di Monitoraggio di Azure e Defender per il cloud. Se si gestiscono queste sottoscrizioni tramite un gruppo di gestione, è possibile consolidare in un unico portale per tutte le funzionalità di Monitoraggio di Azure e Defender per il cloud. Ad esempio, Secure Score, fornito da Defender per il cloud, vengono consolidati per tutte le sottoscrizioni, usando un gruppo di gestione come ambito.
Gruppo di risorse di archiviazione (1)
L'account di archiviazione è contenuto in un gruppo di risorse dedicato. È possibile isolare ogni account di archiviazione in un gruppo di risorse diverso per un controllo delle autorizzazioni più granulare. I servizi di archiviazione di Azure sono contenuti all'interno di un account di archiviazione dedicato. È possibile avere un account di archiviazione per ogni tipo di carico di lavoro di archiviazione, ad esempio un archivio oggetti (detto anche archiviazione BLOB) e File di Azure. Ciò offre un controllo di accesso più granulare e può migliorare le prestazioni.
Gruppo di risorse macchine virtuali (2)
Le macchine virtuali sono contenute in un gruppo di risorse. È anche possibile avere ogni tipo di macchina virtuale per i livelli di carico di lavoro, ad esempio front-end, applicazione e dati in gruppi di risorse diversi per isolare ulteriormente il controllo di accesso.
Gruppi di risorse di rete virtuale spoke (3) e hub (4) in sottoscrizioni separate
La rete e altre risorse per ognuna delle reti virtuali nell'architettura di riferimento sono isolate all'interno di gruppi di risorse dedicati per le reti virtuali spoke e hub. Questa organizzazione funziona bene quando si ha la responsabilità di questi utenti in team diversi. Un'altra opzione consiste nell'organizzare questi componenti inserendo tutte le risorse di rete in un gruppo di risorse e le risorse di sicurezza in un altro. Dipende dal modo in cui l'organizzazione è configurata per gestire queste risorse.
Protezione dalle minacce con Microsoft Defender per il cloud
Microsoft Defender per il cloud è una soluzione di rilevamento e risposta estesa (XDR) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso da tutto l'ambiente. Defender per il cloud deve essere usato insieme a Microsoft Defender XDR per offrire una maggiore ampiezza della protezione correlata dell'ambiente, come illustrato nel diagramma seguente.
Nel diagramma:
- Defender per il cloud è abilitato per un gruppo di gestione che include più sottoscrizioni di Azure.
- Microsoft Defender XDR è abilitato per le app e i dati di Microsoft 365, le app SaaS integrate con Microsoft Entra ID e Active Directory locale server Domain Services (AD DS).
Per altre informazioni sulla configurazione dei gruppi di gestione e sull'abilitazione di Defender per il cloud, vedere:
- Organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti
- Abilitare Defender per il cloud in tutte le sottoscrizioni in un gruppo di gestione
Soluzioni di sicurezza in questa serie di articoli
Zero Trust prevede l'applicazione di più discipline di sicurezza e protezione delle informazioni insieme. In questa serie di articoli, questo approccio multi-disciplina viene applicato a ognuna delle unità di lavoro per i componenti dell'infrastruttura come indicato di seguito:
Applicare i principi Zero Trust all'archiviazione di Azure
- Proteggere i dati in tutte e tre le modalità: dati inattivi, dati in transito e dati in uso
- Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi
- Separare o separare logicamente i dati critici con i controlli di rete
- Usare Defender per Archiviazione per il rilevamento e la protezione automatizzati delle minacce
Applicare principi Zero Trust alle macchine virtuali in Azure
- Configurare l'isolamento logico per le macchine virtuali
- Sfruttare i Controllo di accesso basati sui ruoli
- Proteggere i componenti di avvio della macchina virtuale
- Abilitare chiavi gestite dal cliente e doppia crittografia
- Controllare le applicazioni installate nelle macchine virtuali
- Configurare l'accesso sicuro
- Configurare la manutenzione sicura delle macchine virtuali
- Abilitare il rilevamento e la protezione avanzata delle minacce
Applicare i principi Zero Trust a una rete virtuale spoke in Azure
- Sfruttare il controllo degli accessi in base al ruolo di Microsoft Entra o configurare ruoli personalizzati per le risorse di rete
- Isolare l'infrastruttura nel proprio gruppo di risorse
- Creare un gruppo di sicurezza di rete per ogni subnet
- Creare un gruppo di sicurezza delle applicazioni per ogni ruolo della macchina virtuale
- Proteggere il traffico e le risorse all'interno della rete virtuale
- Proteggere l'accesso alla rete virtuale e all'applicazione
- Abilitare il rilevamento e la protezione avanzata delle minacce
Applicare principi Zero Trust a una rete virtuale hub in Azure
- Secure Firewall di Azure Premium
- Distribuire Protezione DDoS di Azure Standard
- Configurare il routing del gateway di rete al firewall
- Configurare la protezione dalle minacce
Illustrazioni tecniche
Queste illustrazioni sono repliche delle illustrazioni di riferimento contenute in questi articoli. Scaricare e personalizzare questi elementi per l'organizzazione e i clienti. Sostituire il logo contoso con il proprio.
| Articolo | Descrizione |
|---|---|
 Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS Usare queste illustrazioni con questi articoli: - Sintesi - Archiviazione di Azure - Macchine virtuali - Reti virtuali spoke di Azure - Reti virtuali dell'hub di Azure |
 Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS - Poster di una pagina Panoramica di una pagina del processo per l'applicazione dei principi di Zero Trust agli ambienti IaaS di Azure. |
Per altre illustrazioni tecniche, vedere Illustrazioni Zero Trust per architetti IT e implementatori.
Training consigliato per Zero Trust
Di seguito sono riportati i moduli di training consigliati per Zero Trust.
Gestione e governance di Azure
| Formazione | Descrivere la gestione e la governance di Azure |
|---|---|
|
Il training Concetti fondamentali di Azure è costituito da tre percorsi di apprendimento: Concetti fondamentali di Microsoft Azure: Descrivere i concetti relativi al cloud, Descrivere l'architettura e i servizi di Azure e Descrivere la gestione e la governance di Azure. Concetti fondamentali di Microsoft Azure: Descrivere la gestione e la governance di Azure è il terzo percorso di apprendimento della serie Concetti fondamentali di Microsoft Azure. Questo percorso di apprendimento illustra le risorse di gestione e governance disponibili per gestire le risorse cloud e locali. Questo percorso di apprendimento consente di prepararsi all'esame AZ-900: Concetti fondamentali di Microsoft Azure. |
Configurare Criteri di Azure
| Formazione | Configurare Criteri di Azure |
|---|---|
|
Scoprire come configurare Criteri di Azure per implementare i requisiti di conformità. In questo modulo si apprenderà come: |
Gestire le operazioni di sicurezza
| Formazione | Gestire l'operazione di sicurezza |
|---|---|
|
Dopo avere distribuito e protetto l'ambiente di Azure, occorre imparare a monitorare, gestire e migliorare continuamente la sicurezza delle soluzioni. Questo percorso di apprendimento consente di prepararsi all'esame AZ-500: Tecnologie di sicurezza di Microsoft Azure. |
Configurare la sicurezza dell'archiviazione
| Formazione | Configurare la sicurezza dell'archiviazione |
|---|---|
|
Si apprenderà come configurare le funzionalità di sicurezza di Archiviazione di Azure come le firme di accesso alle risorse di archiviazione. Contenuto del modulo |
Configurare Firewall di Azure
| Formazione | Configurare Firewall di Azure |
|---|---|
|
In questo modulo si apprenderà come configurare Firewall di Azure e come usare le regole del firewall. Dopo avere completato questo modulo, si sarà in grado di: |
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure | Microsoft Learn
Passaggi successivi
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:
- Per Azure IaaS:
- Desktop virtuale Azure
- Rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust alla rete di Azure:
- Crittografia
- Segmentazione
- Ottenere visibilità sul traffico di rete
- Interrompere la tecnologia di sicurezza di rete legacy
Riferimenti
Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Che cos'è Azure - Microsoft Servizi cloud
- Infrastruttura distribuita come servizio (IaaS) di Azure
- Macchine virtuali (VM) per Linux e Windows
- Introduzione ad Archiviazione di Azure
- Rete virtuale di Azure
- Introduzione alla sicurezza di Azure
- Linee guida per l'implementazione zero trust
- Panoramica di Microsoft Cloud Security Benchmark
- Panoramica delle baseline di sicurezza per Azure
- Creazione del primo livello di difesa con i servizi di sicurezza di Azure
- Architetture di riferimento per la cybersecurity Microsoft