Condividi tramite


Applicare i principi Zero Trust per interrompere la tecnologia di sicurezza di rete legacy

Questo articolo fornisce indicazioni sull'applicazione dei principi di Zero Trust per interrompere la tecnologia di sicurezza di rete legacy negli ambienti Azure. Ecco i principi Zero Trust.

Principio zero trust Definizione
Verificare esplicita Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.
Usare l'accesso con privilegi minimi Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
Presunzione di violazione Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Migliorare le difese per l'ambiente Azure rimuovendo o aggiornando i servizi di rete legacy per livelli di sicurezza più elevati.

Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust alla rete di Azure.

Le aree di rete di Azure da rivedere per interrompere l'uso delle tecnologie di sicurezza di rete legacy sono:

  • Servizi di base di rete
  • Servizi di bilanciamento del carico e distribuzione di contenuti
  • Servizi di connettività ibrida

La transizione dall'uso di tecnologie di sicurezza di rete legacy può impedire a un utente malintenzionato di accedere agli ambienti o spostarsi tra di essi per infliggere danni diffusi (principio Presuppone violazione Zero Trust).

Architettura di riferimento

Il diagramma seguente illustra l'architettura di riferimento per questa guida Zero Trust per interrompere la tecnologia di sicurezza di rete legacy per i componenti nell'ambiente Azure.

Diagramma che mostra l'architettura di riferimento per interrompere la tecnologia di sicurezza di rete legacy con i componenti di rete di Azure.

Questa architettura di riferimento include:

  • Carichi di lavoro IaaS di Azure in esecuzione in macchine virtuali di Azure.
  • Servizi di Azure.
  • Una rete virtuale di sicurezza che contiene un Gateway VPN di Azure e un gateway di app Azure lication.
  • Una rete virtuale perimetrale Internet che contiene un servizio di bilanciamento del carico di Azure.
  • Frontdoor di Azure sul bordo dell'ambiente Azure.

Che cos'è in questo articolo?

Si applicano principi Zero Trust nell'architettura di riferimento, da utenti e amministratori su Internet o dalla rete locale a e all'interno dell'ambiente Azure. Nella tabella seguente sono elencate le attività principali per interrompere la tecnologia di sicurezza di rete legacy in questa architettura per il principio Presupporre la violazione Zero Trust.

Passaggio Attività
1 Esaminare i servizi di base di rete.
2 Esaminare i servizi di distribuzione e bilanciamento del carico dei contenuti.
3 Esaminare i servizi di connettività ibrida.

Passaggio 1: Esaminare i servizi di base di rete

La revisione dei servizi di base di rete include:

  • Passaggio dallo SKU IP pubblico basic allo SKU IP pubblico Standard.
  • Verifica che gli indirizzi IP della macchina virtuale usino l'accesso in uscita esplicito.

Questo diagramma illustra i componenti per l'aggiornamento dei servizi di base di rete di Azure nell'architettura di riferimento.

Diagramma che mostra i componenti per l'aggiornamento dei servizi di base di rete di Azure.

SKU IP pubblico di base

Gli indirizzi IP (pubblici e privati) fanno parte dei servizi IP in Azure che consentono la comunicazione tra risorse private e pubbliche. Gli indirizzi IP pubblici sono collegati a servizi come gateway di rete virtuale, gateway applicazione e altri che necessitano di connettività in uscita a Internet. Gli indirizzi IP privati consentono la comunicazione tra le risorse di Azure internamente.

Lo SKU IP pubblico basic è considerato legacy e presenta più limitazioni rispetto allo SKU IP pubblico standard. Una delle principali limitazioni per Zero Trust per lo SKU IP pubblico basic è che l'uso dei gruppi di sicurezza di rete non è obbligatorio, ma consigliato, mentre è obbligatorio con lo SKU IP pubblico standard.

Un'altra funzionalità importante per lo SKU IP pubblico Standard è la possibilità di selezionare una preferenza di routing, ad esempio il routing attraverso la rete globale Microsoft. Questa funzionalità protegge il traffico all'interno della rete backbone Microsoft quando possibile e il traffico in uscita viene chiuso il più vicino possibile al servizio o all'utente finale.

Per altre informazioni, vedere Servizi IP di Azure Rete virtuale.

Nota

Lo SKU IP pubblico basic verrà ritirato nel mese di settembre 2025.

Accesso in uscita predefinito

Per impostazione predefinita, Azure fornisce l'accesso in uscita a Internet. La connettività dalle risorse viene concessa per impostazione predefinita con le route di sistema e dalle regole in uscita predefinite per i gruppi di sicurezza di rete. In altre parole, se non è configurato alcun metodo di connettività in uscita esplicito, Azure configura un indirizzo IP di accesso in uscita predefinito. Tuttavia, senza l'accesso in uscita esplicito, si verificano determinati rischi per la sicurezza.

Microsoft consiglia di non lasciare aperto un indirizzo IP della macchina virtuale al traffico Internet. Non esiste alcun controllo sull'accesso IP in uscita predefinito e sugli indirizzi IP, insieme alle relative dipendenze, può cambiare. Per le macchine virtuali dotate di più schede di interfaccia di rete (NIC), non è consigliabile consentire a tutti gli indirizzi IP della scheda di interfaccia di rete di avere accesso in uscita a Internet. È invece consigliabile limitare l'accesso solo alle schede di interfaccia di rete necessarie.

Microsoft consiglia di configurare l'accesso in uscita esplicito con una delle opzioni seguenti:

  • Gateway NAT di Azure

    Per le porte SNAT (Source Address Translation) massime, Microsoft consiglia il gateway NAT di Azure per la connettività in uscita.

  • Sku Standard di Azure Load Balancer

    Ciò richiede una regola di bilanciamento del carico per programmare SNAT, che potrebbe non essere efficiente come un gateway NAT di Azure.

  • Uso limitato degli indirizzi IP pubblici

    L'assegnazione di un indirizzo IP pubblico diretto a una macchina virtuale deve essere eseguita solo per gli ambienti di test o sviluppo a causa di considerazioni sulla scalabilità e sulla sicurezza.

Passaggio 2: Esaminare il recapito del contenuto e i servizi di bilanciamento del carico

Azure offre molti servizi di distribuzione di applicazioni che consentono di inviare e distribuire il traffico alle applicazioni Web. A volte una nuova versione o un livello del servizio migliora l'esperienza e fornisce gli aggiornamenti più recenti. È possibile usare lo strumento di migrazione all'interno di ognuno dei servizi di distribuzione delle applicazioni per passare facilmente alla versione più recente del servizio e trarre vantaggio da funzionalità nuove e avanzate.

La revisione della distribuzione di contenuti e dei servizi di bilanciamento del carico include:

  • Migrazione del livello Frontdoor di Azure dal livello classico ai livelli Premium o Standard.
  • Migrazione dei gateway di app Azure lication a WAF_v2.
  • Migrazione allo SKU Standard di Azure Load Balancer.

Questo diagramma illustra i componenti per l'aggiornamento della distribuzione di contenuti di Azure e dei servizi di bilanciamento del carico.

Diagramma che mostra i componenti per l'aggiornamento della distribuzione di contenuti di Azure e dei servizi di bilanciamento del carico.

Frontdoor di Azure

Frontdoor di Azure ha tre livelli diversi: Premium, Standard e Classico. I livelli Standard e Premium combinano le funzionalità del livello Classico di Frontdoor di Azure, di Azure rete per la distribuzione di contenuti e di Web application firewall di Azure (WAF) in un unico servizio.

Microsoft consiglia di eseguire la migrazione dei profili frontdoor di Azure classici ai livelli Premium o Standard per usufruire di queste nuove funzionalità e aggiornamenti. Il livello Premium è incentrato su funzionalità di sicurezza migliorate, ad esempio la connettività privata ai servizi back-end, le regole WAF gestite da Microsoft e la protezione dei bot per le applicazioni Web.

Oltre alle funzionalità migliorate, Frontdoor di Azure Premium include report di sicurezza integrati nel servizio senza costi aggiuntivi. Questi report consentono di analizzare le regole di sicurezza waf e di verificare il tipo di attacchi che le applicazioni Web potrebbero affrontare. Il report sulla sicurezza consente anche di esaminare le metriche in base a dimensioni diverse, che consentono di comprendere da dove proviene il traffico e una suddivisione degli eventi principali in base ai criteri.

Il livello Premium di Frontdoor di Azure offre le misure di sicurezza Internet più affidabili tra client e applicazioni Web.

Gateway applicazione di Azure

app Azure gateway di comunicazione hanno due tipi di SKU, v1 e v2 e una versione WAF che può essere applicata a uno SKU. Microsoft consiglia di eseguire la migrazione del gateway di app Azure lication allo SKU WAF_v2 per trarre vantaggio dagli aggiornamenti delle prestazioni e dalle nuove funzionalità, ad esempio la scalabilità automatica, le regole WAF personalizzate e il supporto per collegamento privato di Azure.

Le regole WAF personalizzate consentono di specificare le condizioni per valutare ogni richiesta che passa attraverso il gateway di app Azure lication. Queste regole hanno priorità più alta rispetto alle regole nei set di regole gestite e possono essere personalizzate in base alle esigenze dell'applicazione e dei requisiti di sicurezza. Le regole WAF personalizzate possono anche limitare l'accesso alle applicazioni Web in base al paese o alle aree geografiche associando un indirizzo IP a un codice paese.

L'altro vantaggio della migrazione a WAFv2 consiste nel fatto che è possibile connettersi al gateway di app Azure lication tramite il servizio collegamento privato di Azure quando si accede da un'altra rete virtuale o da una sottoscrizione diversa. Questa funzionalità consente di bloccare l'accesso pubblico al gateway di app Azure lication, consentendo al contempo solo agli utenti e ai dispositivi di accedere tramite un endpoint privato. Con collegamento privato di Azure connettività, è necessario approvare ogni connessione all'endpoint privato, assicurando che solo l'entità corretta possa accedere. Per altre informazioni sulle differenze tra sku v1 e v2, vedere app Azure lication Gateway v2.

Azure Load Balancer

Con il ritiro pianificato dello SKU IP pubblico basic nel mese di settembre 2025, è necessario aggiornare i servizi che usano gli indirizzi IP PUBBLICI di base. Microsoft consiglia di eseguire la migrazione degli SKU Basic correnti di Azure Load Balancers allo SKU Standard di Azure Load Balancers per implementare misure di sicurezza non incluse nello SKU Basic.

Con lo SKU Standard Azure Load Balancer si è sicuri per impostazione predefinita. Tutto il traffico Internet in ingresso verso il servizio di bilanciamento del carico pubblico viene bloccato a meno che non sia consentito dalle regole del gruppo di sicurezza di rete applicato. Questo comportamento predefinito impedisce accidentalmente il traffico Internet verso le macchine virtuali o i servizi prima di essere pronti e garantisce il controllo del traffico che può accedere alle risorse.

Lo SKU Standard di Azure Load Balancer usa collegamento privato di Azure per creare connessioni endpoint private, utile nei casi in cui si vuole consentire l'accesso privato alle risorse dietro un servizio di bilanciamento del carico, ma si vuole che gli utenti possano accedervi dal proprio ambiente.

Passaggio 3: Esaminare i servizi di connettività ibrida

La revisione dei servizi di connettività ibrida include l'uso della nuova generazione di SKU per Azure Gateway VPN.

Questo diagramma illustra i componenti per l'aggiornamento dei servizi di connettività ibrida di Azure nell'architettura di riferimento.

Diagramma che mostra i componenti per l'aggiornamento dei servizi di connettività ibrida di Azure.

Il modo più efficace per connettere le reti ibride in Azure è attualmente con gli SKU di nuova generazione per Azure Gateway VPN. Anche se è possibile continuare a usare gateway VPN classici, questi sono obsoleti e meno affidabili ed efficienti. I gateway VPN classici supportano un massimo di 10 tunnel IPsec (Internet Protocol Security), mentre gli SKU di Azure Gateway VPN più recenti possono aumentare fino a 100 tunnel.

Gli SKU più recenti operano su un modello di driver più recente e incorporano gli aggiornamenti software di sicurezza più recenti. I modelli di driver meno recenti sono basati su tecnologie Microsoft obsolete che non sono adatte ai carichi di lavoro moderni. I modelli di driver più recenti non solo offrono prestazioni e hardware superiori, ma offrono anche resilienza avanzata. Il set az di SKU dei gateway VPN può essere posizionato nelle zone di disponibilità e supporta le connessioni attive-attive con più indirizzi IP pubblici, migliorando la resilienza e offre opzioni migliorate per il ripristino di emergenza.

Inoltre, per le esigenze di routing dinamico, i gateway VPN classici non potevano eseguire Border Gateway Protocol (BGP), usavano solo IKEv1 e non supportavano il routing dinamico. In sintesi, i gateway VPN SKU classici sono progettati per carichi di lavoro più piccoli, larghezza di banda ridotta e connessioni statiche.

I gateway VPN classici presentano anche limitazioni nella sicurezza e nelle funzionalità dei tunnel IPsec. Supportano solo la modalità basata su criteri con il protocollo IKEv1 e un set limitato di crittografia e algoritmi hash che sono più soggetti a violazioni. Microsoft consiglia di passare ai nuovi SKU che offrono un'ampia gamma di opzioni per i protocolli fase 1 e fase 2. Un vantaggio fondamentale è che le Gateway VPN basate su route possono usare sia la modalità principale IKEv1 che IKEv2, offrendo maggiore flessibilità di implementazione e algoritmi di crittografia e hash più affidabili.

Se è necessaria una maggiore sicurezza rispetto ai valori di crittografia predefiniti, le Gateway VPN basate su route consentono la personalizzazione dei parametri della fase 1 e della fase 2 per selezionare crittografie e lunghezze di chiave specifiche. I gruppi di crittografia più avanzata includono Gruppo 14 (2048 bit), Gruppo 24 (gruppo MODP a 2048 bit) o ECP (gruppi di curve ellittiche) a 256 bit o a 384 bit (gruppo 19 e gruppo 20 rispettivamente). Inoltre, è possibile specificare gli intervalli di prefissi autorizzati a inviare traffico crittografato usando l'impostazione Selettore traffico per proteggere ulteriormente la negoziazione del tunnel dal traffico non autorizzato.

Per altre informazioni, vedere Crittografia di Azure Gateway VPN.

Gli SKU di Azure Gateway VPN facilitano le connessioni VPN da punto a sito (P2S) per usare entrambi i protocolli IPsec basati sui protocolli IKEv2 e VPN basati su SSL/TLS, ad esempio OpenVPN e Secure Socket Tunneling Protocol (SSTP). Questo supporto fornisce agli utenti diversi metodi di implementazione e consente loro di connettersi ad Azure usando sistemi operativi di dispositivi diversi. Gli SKU di Azure Gateway VPN offrono anche molte opzioni di autenticazione client, tra cui l'autenticazione del certificato, l'autenticazione di Microsoft Entra ID e l'autenticazione Dominio di Active Directory Services (AD DS).

Nota

I gateway IPSec classici verranno ritirati il 31 agosto 2024.

Passaggi successivi

Per altre informazioni sull'applicazione di Zero Trust alla rete di Azure, vedere:

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.