Panoramica: applicare i principi Zero Trust alla rete di Azure

Questa serie di articoli illustra come applicare i principi di Zero Trust all'infrastruttura di rete in Microsoft Azure in base a un approccio multidisciplinare. Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente:

• Verificare esplicita
• Usare l'accesso con privilegi minimi
• Presunzione di violazione

L'implementazione della mentalità Zero Trust per "presupporre violazioni, non considerare mai attendibili, verificare sempre" richiede modifiche all'infrastruttura di rete cloud, alla strategia di distribuzione e all'implementazione.

Gli articoli seguenti illustrano come applicare l'approccio Zero Trust alla rete per i servizi di infrastruttura di Azure distribuiti comunemente:

• Crittografia
• Segmentazione
• Ottenere visibilità sul traffico di rete
• Interrompere la tecnologia di sicurezza di rete legacy

Importante

Questo materiale sussidiario zero trust descrive come usare e configurare diverse soluzioni e funzionalità di sicurezza disponibili in Azure per un'architettura di riferimento. Diverse altre risorse forniscono anche indicazioni sulla sicurezza per queste soluzioni e funzionalità, tra cui:

• Microsoft Cloud Security Benchmark
• Microsoft Cloud Security Baseline

Per descrivere come applicare un approccio Zero Trust, questa guida è destinata a un modello comune usato nell'ambiente di produzione da molte organizzazioni: un'applicazione basata su macchine virtuali ospitata in una rete virtuale (e un'applicazione IaaS). Si tratta di un modello comune per le organizzazioni che eseguono la migrazione di applicazioni locali ad Azure, talvolta definite "lift-and-shift".

Protezione dalle minacce con Microsoft Defender per il cloud

Per il principio Presupporre la violazione Zero Trust per la rete di Azure, Microsoft Defender per il cloud è una soluzione XDR (Extended Detection and Response) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso provenienti da tutto l'ambiente. Defender per il cloud deve essere usato insieme a Microsoft Defender XDR per offrire una maggiore ampiezza della protezione correlata dell'ambiente, come illustrato nel diagramma seguente.

Nel diagramma:

• Defender per il cloud è abilitato per un gruppo di gestione che include più sottoscrizioni di Azure.
• Microsoft Defender XDR è abilitato per le app e i dati di Microsoft 365, le app SaaS integrate con Microsoft Entra ID e Active Directory locale server Domain Services (AD DS).

Per altre informazioni sulla configurazione dei gruppi di gestione e sull'abilitazione di Defender per il cloud, vedere:

• Organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti
• Abilitare Defender per il cloud in tutte le sottoscrizioni in un gruppo di gestione

Risorse aggiuntive

Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure IaaS:

• Per Azure IaaS:
  • Archiviazione di Azure
  • Macchine virtuali
  • Reti virtuali spoke
  • Reti virtuali hub
  • Reti virtuali spoke con servizi PaaS di Azure
• Desktop virtuale Azure
• Rete WAN virtuale di Azure
• Applicazioni IaaS in Amazon Web Services
• Microsoft Sentinel e Microsoft Defender XDR