Applicare i principi Zero Trust per crittografare le comunicazioni di rete basate su Azure

Articolo
04/13/2024

Questo articolo fornisce indicazioni per l'applicazione dei principi di Zero Trust per la crittografia delle comunicazioni di rete verso, da e tra gli ambienti di Azure nei modi seguenti.

Principio zero trust	Definizione	Met by
Verificare esplicita	Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.	Uso dei criteri di accesso condizionale per le connessioni di Azure Gateway VPN e Secure Shell (SSH) e Remote Desktop Protocol (RDP) per le connessioni da utente a macchina virtuale.
Usare l'accesso con privilegi minimi	Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.	Configurazione dei dispositivi Microsoft Enterprise Edge (MSEE) per l'uso della chiave di associazione di connettività statica (CAK) per Azure ExpressRoute con porte dirette e uso dell'identità gestita per autenticare le risorse del circuito ExpressRoute.
Presunzione di violazione	Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.	Protezione del traffico di rete con metodi e protocolli di crittografia che forniscono riservatezza, integrità e autenticità dei dati in transito. Uso di Monitoraggio di Azure per fornire avvisi e metriche delle prestazioni della rete ExpressRoute. Uso di Azure Bastion per gestire singole sessioni dal servizio Bastion ed eliminare o forzare una disconnessione.

Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust per la rete di Azure.

I livelli di crittografia per il traffico di rete sono i seguenti:

Crittografia del livello di rete
- Proteggere e verificare la comunicazione da Internet o dalla rete locale alle reti virtuali e alle macchine virtuali di Azure
- Proteggere e verificare la comunicazione all'interno e tra reti virtuali di Azure
Crittografia a livello di applicazione
- Protezione per le applicazioni Web di Azure
Protezione per i carichi di lavoro in esecuzione in macchine virtuali di Azure

Architettura di riferimento

Il diagramma seguente illustra l'architettura di riferimento per questa guida Zero Trust per la comunicazione crittografata tra utenti e amministratori in locale o in Internet e componenti nell'ambiente Azure per i passaggi descritti in questo articolo.

Nel diagramma i numeri corrispondono ai passaggi delle sezioni seguenti.

Che cos'è in questo articolo?

I principi Zero Trust vengono applicati nell'architettura di riferimento, da utenti e amministratori su Internet o dalla rete locale a e all'interno del cloud di Azure. Nella tabella seguente vengono descritte le raccomandazioni per garantire la crittografia del traffico di rete in questa architettura.

Passaggio	Attività	Principi zero trust applicati
1	Implementare la crittografia del livello di rete.	Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione
2	Proteggere e verificare la comunicazione da una rete locale alle reti virtuali di Azure.	Verificare in modo esplicito Presunzione di violazione
3	Proteggere e verificare la comunicazione all'interno e tra reti virtuali di Azure.	Presunzione di violazione
4	Implementare la crittografia a livello di applicazione.	Verificare in modo esplicito Presunzione di violazione
5	Usare Azure Bastion per proteggere le macchine virtuali di Azure.	Presunzione di violazione

Passaggio 1: Implementare la crittografia del livello di rete

La crittografia del livello di rete è fondamentale quando si applicano principi Zero Trust all'ambiente locale e ad Azure. Quando il traffico di rete passa attraverso Internet, è sempre consigliabile presupporre che vi sia una possibilità di intercettazione del traffico da parte di utenti malintenzionati e che i dati vengano esposti o modificati prima che raggiungano la destinazione. Poiché i provider di servizi controllano il modo in cui i dati vengono instradati tramite Internet, si vuole assicurarsi che la privacy e l'integrità dei dati vengano mantenuti dal momento in cui lascia la rete locale fino al cloud microsoft.

Il diagramma seguente illustra l'architettura di riferimento per l'implementazione della crittografia del livello di rete.

Nelle due sezioni successive viene illustrato Internet Protocol Security (IPsec) e Media Controllo di accesso Security (MACsec), quali servizi di rete di Azure supportano questi protocolli e come assicurarsi che vengano usati.

IPsec

IPsec è un gruppo di protocolli che fornisce la sicurezza per le comunicazioni IP (Internet Protocol). Autentica e crittografa i pacchetti di rete usando un set di algoritmi di crittografia. IPSec è il protocollo di incapsulamento di sicurezza usato per stabilire reti private virtuali (VPN). Un tunnel VPN IPsec è costituito da due fasi, la fase 1 nota come modalità principale e la fase 2 nota come modalità rapida.

La fase 1 di IPsec è la creazione di tunnel, in cui i peer negoziano i parametri per l'associazione di sicurezza IKE (Internet Key Exchange), ad esempio crittografia, autenticazione, hashing e algoritmi Diffie-Hellman. Per verificare le identità, i peer scambiano una chiave precondivisa. La fase 1 di IPsec può funzionare in due modalità: modalità principale o aggressiva. Azure Gateway VPN supporta due versioni di IKE, IKEv1 e IKEv2 e funziona solo in modalità principale. La modalità principale garantisce la crittografia dell'identità della connessione tra l'Gateway VPN di Azure e il dispositivo locale.

Nella fase 2 di IPsec, i peer negoziano i parametri di sicurezza per la trasmissione dei dati. In questa fase, entrambi i peer sono d'accordo sugli algoritmi di crittografia e autenticazione, sul valore di durata dell'associazione di sicurezza (SA) e sui selettori di traffico (TS) che definiscono il traffico crittografato tramite il tunnel IPsec. Il tunnel creato nella fase 1 funge da canale sicuro per questa negoziazione. IPsec può proteggere i pacchetti IP usando il protocollo AH (Authentication Header) o il protocollo ESP (Security Payload). AH fornisce integrità e autenticazione, mentre ESP fornisce anche la riservatezza (crittografia). IPsec fase 2 può funzionare in modalità trasporto o tunnel. In modalità trasporto viene crittografato solo il payload del pacchetto IP, mentre in modalità tunnel viene crittografato l'intero pacchetto IP e viene aggiunta una nuova intestazione IP. IPsec fase 2 può essere stabilito su IKEv1 o IKEv2. L'implementazione corrente di Azure Gateway VPN IPsec supporta solo ESP in modalità tunnel.

Alcuni dei servizi di Azure che supportano IPsec sono:

Gateway VPN di Azure
- Connessioni VPN da sito a sito
- Connessioni da rete virtuale a rete virtuale
- Connessioni da punto a sito
Rete WAN virtuale di Azure
- Siti VPN
- Configurazioni VPN utente

Non sono necessarie impostazioni da modificare per abilitare IPsec per questi servizi. Sono abilitati per impostazione predefinita.

MACsec e Azure Key Vault

MACsec (IEEE 802.1AE) è uno standard di sicurezza di rete che applica il principio Assume violazione Zero Trust a livello di collegamento dati fornendo l'autenticazione e la crittografia su un collegamento Ethernet. MACsec presuppone che qualsiasi traffico di rete, anche nella stessa rete locale, possa essere compromesso o intercettato da attori malintenzionati. MACsec verifica e protegge ogni frame usando una chiave di sicurezza condivisa tra due interfacce di rete. Questa configurazione può essere eseguita solo tra due dispositivi con supporto MACsec.

MACsec è configurato con le associazioni di connettività, ovvero un set di attributi usati dalle interfacce di rete per creare canali di sicurezza in ingresso e in uscita. Una volta creato, il traffico su questi canali viene scambiato su due collegamenti protetti MACsec. MACsec ha due modalità di associazione della connettività:

Modalità CAK (Static Connectivity Association Key): i collegamenti protetti MACsec vengono stabiliti usando una chiave precondivisa che include un nome di chiave di associazione di connettività (CKN) e il CAK assegnato. Queste chiavi vengono configurate in entrambe le estremità del collegamento.
Modalità CAK dinamica: le chiavi di sicurezza vengono generate dinamicamente usando il processo di autenticazione 802.1x, che può usare un dispositivo di autenticazione centralizzato, ad esempio un server RADIUS (Remote Authentication Dial-In User Service).

I dispositivi Microsoft Enterprise Edge (MSEE) supportano CAK statici archiviando CAK e CKN in un insieme di credenziali delle chiavi di Azure quando si configura Azure ExpressRoute con porte dirette. Per accedere ai valori in Azure Key Vault, configurare l'identità gestita per autenticare la risorsa del circuito ExpressRoute. Questo approccio segue il principio Usare l'accesso con privilegi minimi Zero Trust perché solo i dispositivi autorizzati possono accedere alle chiavi da Azure Key Vault. Per altre informazioni, vedere Configurare MACsec nelle porte ExpressRoute Direct.

Passaggio 2: Proteggere e verificare la comunicazione da una rete locale alle reti virtuali di Azure

Man mano che la migrazione cloud diventa più diffusa in tutte le aziende con scalabilità diverse, la connettività ibrida svolge un ruolo chiave. È fondamentale non solo proteggere e proteggere, ma anche verificare e monitorare la comunicazione di rete tra la rete locale e Azure.

Il diagramma seguente illustra l'architettura di riferimento per proteggere e verificare la comunicazione da una rete locale alle reti virtuali di Azure.

Azure offre due opzioni per connettere la rete locale alle risorse in una rete virtuale di Azure:

Azure Gateway VPN consente di creare un tunnel VPN da sito a sito usando IPsec per crittografare e autenticare la comunicazione di rete tra la rete in uffici centrali o remoti e una rete virtuale di Azure. Consente anche ai singoli client di stabilire una connessione da punto a sito per accedere alle risorse in una rete virtuale di Azure senza un dispositivo VPN. Per la conformità Zero Trust, configurare l'autenticazione di Microsoft Entra ID e i criteri di accesso condizionale per le connessioni di Azure Gateway VPN per verificare l'identità e la conformità dei dispositivi che si connettono. Per altre informazioni, vedere Usare il gateway VPN di Microsoft Tunnel con i criteri di accesso condizionale.
Azure ExpressRoute offre una connessione privata a larghezza di banda elevata che consente di estendere la rete locale in Azure con l'assistenza di un provider di connettività. Poiché il traffico di rete non passa attraverso la rete Internet pubblica, i dati non vengono crittografati per impostazione predefinita. Per crittografare il traffico tramite ExpressRoute, configurare un tunnel IPsec. Tenere tuttavia presente che quando si eseguono tunnel IPsec su ExpressRoute, la larghezza di banda è limitata alla larghezza di banda del tunnel e potrebbe essere necessario eseguire più tunnel per corrispondere alla larghezza di banda del circuito ExpressRoute. Per altre informazioni, vedere Connessioni VPN da sito a sito tramite peering privato ExpressRoute - Azure Gateway VPN.

Se si usano porte ExpressRoute Direct, è possibile aumentare la sicurezza di rete abilitando l'autenticazione quando si stabiliscono peer BGP o si configura MACsec per proteggere la comunicazione di livello 2. MACsec fornisce la crittografia per i frame Ethernet, garantendo la riservatezza, l'integrità e l'autenticità dei dati tra il router perimetrale e il router perimetrale di Microsoft.

Azure ExpressRoute supporta anche Monitoraggio di Azure per le metriche e gli avvisi delle prestazioni di rete.

La crittografia può proteggere i dati da intercettazioni non autorizzate, ma introduce anche un ulteriore livello di elaborazione per crittografare e decrittografare il traffico di rete che può influire sulle prestazioni. Il traffico di rete che passa attraverso Internet può anche essere imprevedibile perché deve attraversare più dispositivi di rete che possono introdurre latenza di rete. Per evitare problemi di prestazioni, Microsoft consiglia di usare ExpressRoute perché offre prestazioni di rete affidabili e allocazioni della larghezza di banda che è possibile personalizzare per il carico di lavoro.

Quando si decide tra Azure Gateway VPN o ExpressRoute, prendere in considerazione le domande seguenti:

Quali tipi di file e applicazioni si accede tra la rete locale e Azure? È necessaria una larghezza di banda coerente per il trasferimento di grandi volumi di dati?
Per ottenere prestazioni ottimali, è necessaria una latenza coerente e bassa per le applicazioni?
È necessario monitorare le prestazioni e l'integrità della rete della connettività ibrida?

Se si è risposto sì a una di queste domande, Azure ExpressRoute deve essere il metodo principale per connettere la rete locale ad Azure.

Esistono due scenari comuni in cui ExpressRoute e Azure Gateway VPN possono coesistere:

Azure Gateway VPN può essere usato per connettere le succursali ad Azure mentre la sede principale è connessa tramite ExpressRoute.
È anche possibile usare Azure Gateway VPN come connessione di backup ad Azure per l'ufficio centrale se il servizio ExpressRoute ha un'interruzione.

Passaggio 3: Proteggere e verificare la comunicazione all'interno e tra reti virtuali di Azure

Il traffico all'interno di Azure ha un livello di crittografia sottostante. Quando il traffico si sposta tra reti virtuali in aree diverse, Microsoft usa MACsec per crittografare ed autenticare il traffico di peering a livello di collegamento dati.

Il diagramma seguente illustra l'architettura di riferimento per la protezione e la verifica delle comunicazioni all'interno e tra reti virtuali di Azure.

Tuttavia, la crittografia da sola non è sufficiente per garantire Zero Trust. È anche necessario verificare e monitorare la comunicazione di rete all'interno e tra reti virtuali di Azure. Altre funzionalità di crittografia e verifica tra reti virtuali sono possibili con l'aiuto di Appliance virtuali di rete o Gateway VPN di Azure, ma non è una pratica comune. Microsoft consiglia di progettare la topologia di rete per usare un modello centralizzato di ispezione del traffico in grado di applicare criteri granulari e rilevare anomalie.

Per ridurre il sovraccarico della configurazione di un gateway VPN o di un'appliance virtuale, abilitare la funzionalità di crittografia della rete virtuale per determinate dimensioni della macchina virtuale per crittografare e verificare il traffico tra macchine virtuali a livello di host, all'interno di una rete virtuale e tra peering reti virtuali.

Passaggio 4: Implementare la crittografia a livello di applicazione

La crittografia a livello di applicazione svolge un fattore chiave per Zero Trust che impone la crittografia di tutti i dati e le comunicazioni quando gli utenti interagiscono con applicazioni Web o dispositivi. La crittografia a livello di applicazione garantisce che solo le entità verificate e attendibili possano accedere alle applicazioni Web o ai dispositivi.

Il diagramma seguente illustra l'architettura di riferimento per l'implementazione della crittografia a livello di applicazione.

Uno degli esempi più comuni di crittografia a livello di applicazione è Hypertext Transfer Protocol Secure (HTTPS), che crittografa i dati tra un Web browser e un server Web. HTTPS usa il protocollo TLS (Transport Layer Security) per crittografare le comunicazioni client-server e usa un certificato digitale TLS per verificare l'identità e l'attendibilità del sito Web o del dominio.

Un altro esempio di sicurezza a livello di applicazione è Secure Shell (SSH) e Remote Desktop Protocol (RDP) che crittografa i dati tra il client e il server. Questi protocolli supportano anche l'autenticazione a più fattori e i criteri di accesso condizionale per garantire che solo i dispositivi autorizzati e conformi o gli utenti possano accedere alle risorse remote. Per informazioni sulla protezione delle connessioni SSH e RDP alle macchine virtuali di Azure, vedere Passaggio 5.

Protezione per le applicazioni Web di Azure

È possibile usare Frontdoor di Azure o app Azure lication Gateway per proteggere le applicazioni Web di Azure.

Frontdoor di Azure

Frontdoor di Azure è un servizio di distribuzione globale che ottimizza la distribuzione di contenuti agli utenti finali tramite le posizioni perimetrali di Microsoft. Con funzionalità come Web Application Firewall (WAF) e collegamento privato servizio, è possibile rilevare e bloccare attacchi dannosi sulle applicazioni Web nella rete Microsoft mentre accedono privatamente alle origini usando la rete interna Microsoft.

Per proteggere i dati, il traffico verso gli endpoint frontdoor di Azure è protetto tramite HTTPS con TLS end-to-end per tutto il traffico che passa da e verso gli endpoint. Il traffico viene crittografato dal client all'origine e dall'origine al client.

Frontdoor di Azure gestisce le richieste HTTPS e determina quale endpoint nel profilo ha il nome di dominio associato. Controlla quindi il percorso e determina quale regola di routing corrisponde al percorso della richiesta. Se la memorizzazione nella cache è abilitata, Frontdoor di Azure controlla la cache per verificare se è presente una risposta valida. Se non esiste una risposta valida, Frontdoor di Azure seleziona l'origine migliore che può soddisfare il contenuto richiesto. Prima che la richiesta venga inviata all'origine, è possibile applicare un set di regole alla richiesta per modificare l'intestazione, la stringa di query o la destinazione dell'origine.

Frontdoor di Azure supporta tls front-end e back-end. Tls front-end crittografa il traffico tra il client e Frontdoor di Azure. TLS back-end crittografa il traffico tra Frontdoor di Azure e l'origine. Frontdoor di Azure supporta TLS 1.2 e TLS 1.3. È possibile configurare Frontdoor di Azure per l'uso di un certificato TLS personalizzato o l'uso di un certificato gestito da Frontdoor di Azure.

Nota

È anche possibile usare la funzionalità di collegamento privato per la connettività alle appliance virtuali di rete per un'ulteriore ispezione dei pacchetti.

Gateway applicazione di Azure

app Azure lication Gateway è un servizio di bilanciamento del carico a livello di area che opera al livello 7. Instrada e distribuisce il traffico Web in base agli attributi URL HTTP. Può instradare e distribuire il traffico usando tre approcci diversi:

Solo HTTP: gateway applicazione riceve e instrada le richieste HTTP in ingresso alla destinazione appropriata in formato non crittografato.
Terminazione SSL: gateway applicazione decrittografa le richieste HTTPS in ingresso a livello di istanza, le controlla e le instrada alla destinazione non crittografate.
TLS end-to-end: gateway applicazione decrittografa le richieste HTTPS in ingresso a livello di istanza, le controlla e le crittografa nuovamente prima di instradarle alla destinazione.

L'opzione più sicura è TLS end-to-end, che consente la crittografia e la trasmissione di dati sensibili richiedendo l'uso di certificati di autenticazione o certificati radice attendibili. È inoltre necessario caricare questi certificati nei server back-end e assicurarsi che questi server back-end siano noti a gateway applicazione. Per altre informazioni, vedere Configurare TLS end-to-end tramite gateway applicazione.

Inoltre, gli utenti locali o gli utenti in macchine virtuali in un'altra rete virtuale possono usare il front-end interno di gateway applicazione con le stesse funzionalità TLS. Oltre alla crittografia, Microsoft consiglia di abilitare sempre WAF per una maggiore protezione front-end per gli endpoint.

Passaggio 5: Usare Azure Bastion per proteggere le macchine virtuali di Azure

Azure Bastion è un servizio PaaS gestito che consente di connettersi in modo sicuro alle macchine virtuali tramite una connessione TLS. Questa connettività può essere stabilita dalla portale di Azure o tramite un client nativo all'indirizzo IP privato nella macchina virtuale. I vantaggi dell'uso di Bastion includono:

Le macchine virtuali di Azure non necessitano di un indirizzo IP pubblico. Le connessioni si trovano sulla porta TCP 443 per HTTPS e possono attraversare la maggior parte dei firewall.
Le macchine virtuali sono protette dall'analisi delle porte.
La piattaforma Azure Bastion viene costantemente aggiornata e protetta da exploit zero-day.

Con Bastion è possibile controllare la connettività RDP e SSH alla macchina virtuale da un singolo punto di ingresso. È possibile gestire singole sessioni dal servizio Bastion nella portale di Azure. È anche possibile eliminare o forzare una disconnessione di una sessione remota in corso se si sospetta che un utente non debba connettersi a tale computer.

Il diagramma seguente illustra l'architettura di riferimento per l'uso di Azure Bastion per proteggere le macchine virtuali di Azure.

Per proteggere la macchina virtuale di Azure, distribuire Azure Bastion e iniziare a usare RDP e SSH per connettersi alle macchine virtuali con gli indirizzi IP privati.

Formazione consigliata

Passaggi successivi

Per altre informazioni sull'applicazione di Zero Trust alla rete di Azure, vedere:

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.

Condividi tramite