Condividi tramite


Proteggere le risorse di Azure da attacchi informatici distruttivi

Questo articolo illustra i passaggi per applicare i principi di Zero Trust per proteggere le risorse di Microsoft Azure da attacchi informatici distruttivi nei modi seguenti:

Principio zero trust Definizione
Verificare esplicita Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.
Usare l'accesso con privilegi minimi Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
Presunzione di violazione Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.

Migliorare le difese con blocchi delle risorse, backup e ripristino di emergenza per le macchine virtuali, la protezione dei dati e i servizi di disponibilità dei dati e la protezione dell'infrastruttura di ripristino, dei servizi basati sulla configurazione e dell'automazione della piattaforma e degli strumenti DevOps.

Per il rilevamento delle minacce, usare Microsoft Sentinel e il rilevamento a più fasi avanzato e preparare i piani di risposta agli eventi imprevisti per le risorse di Azure.

Questo articolo include indicazioni su come:

  • Proteggere le risorse di Microsoft Azure da attacchi informatici distruttivi.
  • Rilevare attacchi informatici quando si verificano.
  • Come rispondere a loro.

Questo articolo è destinato agli implementatori tecnici per supportare lo scenario aziendale Implementare la prevenzione delle violazioni della sicurezza e l'infrastruttura di ripristino Zero Trust.

Architettura di riferimento

La figura seguente illustra l'architettura di riferimento per questa guida Zero Trust con raggruppamenti per ogni categoria di protezione.

Diagramma dell'architettura di riferimento per la protezione delle risorse di Azure da attacchi informatici.

Questo ambiente di Azure include:

Componente Descrizione
A Macchine virtuali e relativi file
G Servizi dati e relativi dati
A Infrastruttura di ripristino, inclusi file e modelli e script di automazione
D Servizi basati sulla configurazione
E Automazione della piattaforma e strumenti DevOps (non visualizzati)

Le attività per la protezione di ogni tipo di asset sono descritte in dettaglio nel passaggio 1 di questo articolo.

Che cos'è in questo articolo?

Questo articolo illustra i passaggi per applicare i principi di Zero Trust nell'architettura di riferimento.

Passaggio Attività
1 Configurare la protezione da attacchi informatici.
2 Configurare il rilevamento di attacchi informatici.
3 Preparare i piani di risposta agli eventi imprevisti.

Passaggio 1: Configurare la protezione da attacchi informatici

Molte organizzazioni implementano soluzioni di backup e ripristino di emergenza per le macchine virtuali di Azure come parte di un impegno di migrazione. Ad esempio, è possibile usare soluzioni native di Azure o scegliere di usare soluzioni di terze parti per l'ecosistema cloud.

Anche se la protezione delle macchine virtuali e delle app e dei dati è importante, è anche fondamentale espandere l'ambito di protezione oltre le macchine virtuali. Questa sezione fornisce una suddivisione delle considerazioni e delle raccomandazioni per la protezione di diversi tipi di risorse in Azure da attacchi informatici distruttivi.

Oltre alle considerazioni specifiche del servizio, è consigliabile usare blocchi delle risorse per impedire l'eliminazione dei servizi proteggendo il piano di gestione. È anche possibile usare i blocchi delle risorse per eseguire il rendering delle risorse di sola lettura. I blocchi delle risorse funzionano con l'accesso controllato per ridurre la probabilità che le risorse di Azure vengano distrutte in un cyberattacco impedendone la modifica o la distruzione.

Per evitare che i blocchi delle risorse generino risultati imprevisti, è necessario esaminare le considerazioni prima di applicare i blocchi per assicurarsi di applicare i blocchi alle risorse appropriate in modo che consentano comunque il funzionamento. Ad esempio, il blocco di una rete virtuale invece di un intero gruppo di risorse può impedire che il blocco sia troppo restrittivo per altre risorse all'interno del gruppo di risorse. A causa di queste considerazioni, è consigliabile classificare in ordine di priorità le risorse di blocco che, se modificate o eliminate, causerebbero la maggior parte delle interruzioni.

I blocchi possono anche avere alcune considerazioni sugli obiettivi del tempo di ripristino per i carichi di lavoro sottoposti a failover. Il piano di ripristino di emergenza deve tenere conto dei blocchi ed è necessario disporre di una procedura testata per la rimozione dei blocchi in modo controllato. È necessario formare gli amministratori e il personale SecOps su come gestire i blocchi come parte di operazioni quotidiane e scenari di emergenza.

Gli amministratori con accesso per rimuovere i blocchi devono essere limitati e devono coinvolgere l'accesso JIT, ad esempio quello fornito con Microsoft Entra Privileged Identity Management. L'accesso ai blocchi di modifica sulle risorse viene controllato con l'ambito Microsoft.Authorization/locks/* e non deve essere concesso come parte dell'accesso permanente.

R. Protezione delle macchine virtuali

Per i carichi di lavoro basati su macchine virtuali, inclusi i set di scalabilità e i cluster Kubernetes, è necessario pianificare due livelli di protezione oltre all'uso dei blocchi delle risorse nel piano di gestione.

Prima di tutto, è necessario pianificare il backup dei dati dalle macchine virtuali in modo da poter ripristinare i dati persi in caso di attacco, che include il servizio Azure Kubernetes (servizio Azure Kubernetes). È anche necessario proteggere i dati di cui è stato eseguito il backup da attacchi usando controlli di eliminazione temporanea. Per informazioni sulla configurazione dei backup, vedere:

In secondo luogo, è necessario pianificare la possibilità di ripristinare un server in una nuova posizione quando viene attaccata l'infrastruttura sottostante nell'area. Per informazioni sulla configurazione della replica nelle macchine virtuali, vedere Configurare il ripristino di emergenza per le macchine virtuali di Azure. Sono incluse la configurazione delle applicazioni e delle impostazioni per le risorse usate durante il failover.

Importante

Quando si usa Azure Site Recovery per le macchine virtuali che fanno parte di un set di scalabilità di macchine virtuali, è possibile replicare lo stato della macchina virtuale. Tuttavia, i dispositivi replicati non supportano il ridimensionamento.

Per alcuni carichi di lavoro basati su macchine virtuali, ad esempio i cluster Kubernetes, lo stato effettivo dei server non può essere replicato tramite Azure Site Recovery. Potrebbero essere necessarie altre soluzioni, ad esempio la configurazione attiva/passiva.

B. Protezione dei servizi dati

I servizi dati sono una raccolta informale di servizi che contengono dati essenziali per le operazioni, ma la risorsa stessa non è altrettanto importante. Ad esempio, c'è poca differenza tra due account di archiviazione configurati nello stesso modo e l'hosting degli stessi dati.

I servizi dati sono diversi dalle macchine virtuali, che possono avere configurazioni del sistema operativo separate dalle applicazioni in esecuzione e separate dalla configurazione del piano di gestione. Di conseguenza, questi servizi:

  • Spesso contengono i propri strumenti di failover, ad esempio la possibilità di replicare un account di archiviazione in un'altra area come parte dei livelli di archiviazione con ridondanza geografica.
  • Tenere presenti le proprie considerazioni su come proteggere i dati dagli attacchi e rendere nuovamente disponibili i dati in caso di attacco.

La tabella seguente fornisce riferimenti alla protezione dei dati e alla disponibilità per i servizi di uso comune, ma è necessario esaminare la documentazione del prodotto di ogni servizio per comprendere le opzioni disponibili.

Service Protezione dei dati Disponibilità dei dati
File di Azure Eseguire il backup di condivisioni file di Azure

Evitare l'eliminazione accidentale di condivisioni file di Azure
Abilitare l'eliminazione temporanea nelle condivisioni file di Azure
Archiviazione BLOB di Azure Abilitare il ripristino temporizzato nei dati BLOB

Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile
Panoramica della protezione dei dati per BLOB di Azure

Abilitare e gestire l'eliminazione temporanea per i contenitori

Abilitare l'eliminazione temporanea per i BLOB
Database SQL di Azure backup automatici nel database SQL di Azure Replica geografica attiva

Gruppi di failover per database SQL di Azure
Istanze gestite SQL Backup automatizzati nell'Istanza gestita di SQL di Azure Gruppi di failover per Istanza gestita di SQL di Azure
SQL in macchine virtuali di Azure Backup e ripristino per SQL Server in macchine virtuali di Azure Istanze del cluster di failover con SQL Server in Azure Macchine virtuali
Key Vault Backup e ripristino di Azure Key Vault Abilitare l'eliminazione temporanea e la protezione dall'eliminazione per gli insiemi di credenziali delle chiavi

Disponibilità e ridondanza in Azure Key Vault

Avviso

Alcuni scenari di ripristino dell'account di archiviazione non sono supportati. Per altre informazioni, vedere Ripristino di archiviazione non supportato.

C. Protezione dell'infrastruttura di ripristino

Oltre a proteggere le risorse nei carichi di lavoro, è anche necessario proteggere le risorse usate per ripristinare le funzionalità dopo un'interruzione, ad esempio la documentazione delle procedure di ripristino e gli script e i modelli di configurazione. Se gli utenti malintenzionati possono colpire e interrompere l'infrastruttura di ripristino, l'intero ambiente può essere compromesso causando notevoli ritardi nel ripristino dall'attacco e lasciando l'organizzazione vulnerabile agli scenari ransomware.

Per i dati protetti da Backup di Azure, l'uso dell'eliminazione temporanea per backup di Azure consente di ripristinare i dati di backup anche se eliminati. Inoltre, l'eliminazione temporanea avanzata applica l'assegnazione di eliminazione temporanea e consente di definire un periodo di conservazione.

Per migliorare ulteriormente la sicurezza, implementare l'autorizzazione multiutente (MUA) per le operazioni critiche, che richiede che due o più utenti approvino le operazioni critiche prima dell'esecuzione. In questo modo si aggiunge un ulteriore livello di sicurezza assicurandosi che nessun singolo utente, e quindi un utente malintenzionato con un solo account utente, possa compromettere l'integrità del backup. Abilitare e configurare MUA per proteggere i criteri di backup da modifiche ed eliminazioni non autorizzate.

È possibile proteggere Azure Site Recovery con blocchi delle risorse e accesso JEA/JIT per impedire accessi e rilevamenti non autorizzati quando le risorse sono a rischio.

Quando si esegue la replica di macchine virtuali con Azure Site Recovery crittografate con Crittografia dischi di Azure (ADE) o chiavi gestite dal cliente (CMK), assicurarsi che le chiavi di crittografia siano archiviate in Azure Key Vault per l'area di destinazione. L'archiviazione delle chiavi nell'area di destinazione semplifica l'accesso alle chiavi dopo il failover e mantiene la continuità della sicurezza dei dati. Per proteggere Azure Key Vault da attacchi informatici distruttivi, abilitare funzionalità avanzate di protezione dalle minacce, ad esempio l'eliminazione temporanea e la protezione dall'eliminazione temporanea.

Per indicazioni dettagliate sulla replica per le macchine virtuali crittografate, vedere quanto segue:

D. Protezione dei servizi basati sulla configurazione

I servizi basati sulla configurazione sono servizi di Azure che non dispongono di dati a parte la configurazione nel piano di gestione. Queste risorse sono in genere basate sull'infrastruttura e sono servizi fondamentali che supportano i carichi di lavoro. Ad esempio, reti virtuali, servizi di bilanciamento del carico, gateway di rete e gateway applicazione.

Poiché questi servizi sono senza stato, non sono presenti dati operativi da proteggere. L'opzione migliore per proteggere questi servizi consiste nell'avere modelli di distribuzione infrastruttura come codice (IaC), ad esempio Bicep, che possono ripristinare lo stato di questi servizi dopo un attacco distruttivo. È anche possibile usare script per le distribuzioni, ma le distribuzioni IaC funzionano meglio per ripristinare le funzionalità in un ambiente esistente in cui sono interessati solo alcuni servizi.

Finché una risorsa configurata allo stesso modo può essere distribuita, i servizi possono continuare a funzionare. Invece di provare a eseguire il backup e gestire copie di queste risorse, è possibile usare la distribuzione a livello di codice per eseguire il ripristino da un attacco.

Per altre informazioni sull'uso di IaC, vedere Raccomandazioni per l'uso dell'infrastruttura come codice.

E. Protezione dell'automazione della piattaforma e degli strumenti DevOps

Se si usano distribuzioni a livello di codice o altri tipi di automazione, è necessario proteggere anche le risorse di automazione della piattaforma e degli strumenti DevOps. Per esempi per proteggere l'infrastruttura di distribuzione, vedere Protezione di pipeline CI/CD DevOps e Raccomandazioni per la protezione di un ciclo di vita di sviluppo.

È tuttavia consigliabile pianificare anche la protezione del codice stesso, che varia in base agli strumenti di controllo del codice sorgente in uso. GitHub, ad esempio, contiene istruzioni per eseguire il backup di un repository per i repository di codice sorgente.

È anche necessario esaminare i servizi specifici per determinare come proteggere al meglio il codice sorgente e le pipeline da attacchi e distruzione.

Per i componenti come gli agenti di compilazione ospitati nelle macchine virtuali, è possibile usare il piano di protezione appropriato basato su macchine virtuali per assicurarsi che gli agenti siano disponibili quando necessario.

Passaggio 2: Configurare il rilevamento di attacchi informatici

Per il rilevamento degli attacchi nell'infrastruttura di Azure, iniziare con Microsoft Defender per il cloud, una piattaforma di protezione delle applicazioni nativa del cloud costituita da misure e procedure di sicurezza progettate per proteggere le applicazioni basate sul cloud da varie minacce informatiche e vulnerabilità.

Defender per il cloud, insieme a piani aggiuntivi per i componenti di Azure, raccoglie i segnali dai componenti di Azure e fornisce protezioni specifiche per server, contenitori, archiviazione, database e altri carichi di lavoro.

Il diagramma seguente illustra il flusso delle informazioni sugli eventi di sicurezza dai servizi di Azure tramite Defender per il cloud e Microsoft Sentinel.

Diagramma del flusso delle informazioni sugli eventi di sicurezza dai servizi di Azure tramite Defender per il cloud e Microsoft Sentinel.

Nella figura:

  • I servizi di Azure inviano segnali a Microsoft Defender per il cloud.
  • Microsoft Defender per il cloud, con piani aggiuntivi come Defender per server, analizza i segnali per il rilevamento avanzato delle minacce e invia dati siem (Security Information and Event Management) a Microsoft Sentinel.
  • Microsoft Sentinel usa i dati SIEM per il rilevamento di attacchi informatici, l'indagine, la risposta e la ricerca proattiva.

Dopo aver protetto meglio le risorse di Azure con le raccomandazioni del passaggio 1 di questo articolo, è necessario avere un piano per rilevare attacchi informatici distruttivi usando Microsoft Sentinel. Un punto di partenza consiste nell'usare il rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel. In questo modo è possibile creare rilevamenti per scenari specifici, ad esempio la distruzione dei dati, la negazione del servizio, l'attività amministrativa dannosa e molti altri ancora.

Durante la preparazione dei carichi di lavoro per la risposta, è necessario:

  • Identificare come determinare se una risorsa è sotto attacco.
  • Determinare come è possibile acquisire e generare un evento imprevisto di conseguenza.

Passaggio 3: Preparare i piani di risposta agli eventi imprevisti

È necessario avere piani di risposta agli eventi imprevisti ben definiti e pronti per implementare attacchi informatici distruttivi prima che si verifichino eventi imprevisti. Durante un evento imprevisto, non sarà possibile determinare come contrastare gli attacchi in corso o ripristinare i dati e i servizi danneggiati.

Le applicazioni di Azure e i servizi condivisi devono avere tutti piani di risposta e ripristino che includono playbook per il ripristino di macchine virtuali, servizi dati, servizi di configurazione e servizi di automazione/DevOps. Ogni applicazione o area di servizio deve avere le relative definizioni e dipendenze ben definite.

I playbook devono:

Passaggi successivi

Continuare a implementare l'infrastruttura di prevenzione e ripristino delle violazioni della sicurezza.

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.