Proteggere le reti con SASE, Zero Trust e intelligenza artificiale

La sicurezza di rete si sta evolvendo oltre il perimetro tradizionale, che una volta era legato ai limiti fisici dei data center. Oggi il perimetro è dinamico, estendendosi a utenti, dispositivi e dati ovunque si trovino. Questo cambiamento determina l'adozione di criteri basati sul rischio che isolano gli host, applicano la crittografia, le reti segmentare e posizionano i controlli più vicini alle applicazioni e ai dati.

Secure Access Service Edge (SASE) riflette questa evoluzione definendo completamente il perimetro. Converge la rete e la sicurezza in un servizio fornito dal cloud che segue utenti e dati in ambienti diversi. Questo approccio semplifica la gestione dei criteri e rafforza la protezione.

L'aggiunta di una strategia Zero Trust a un framework SASE migliora ulteriormente la sicurezza assicurando che nessun utente o dispositivo sia considerato attendibile per impostazione predefinita, indipendentemente dalla posizione. Questo principio si allinea perfettamente con l'obiettivo di SASE di proteggere l'accesso al perimetro.

L'intelligenza artificiale amplifica questo approccio analizzando i dati in tempo reale, rilevando le minacce e abilitando risposte rapide e automatizzate. Insieme, SASE, Zero Trust e intelligenza artificiale consentono alle organizzazioni di proteggere un mondo senza perimetro con maggiore agilità, precisione e resilienza.

Principi chiave del modello di rete Zero Trust

Invece di presumere che tutto dietro il firewall aziendale sia sicuro, una strategia Zero Trust end-to-end riconosce che le violazioni sono inevitabili. Questo approccio richiede la verifica di ogni richiesta come se provenga da una rete non controllata, con la gestione delle identità che gioca un ruolo cruciale. Quando le organizzazioni incorporano i modelli e le pratiche di Zero Trust di Cybersecurity and Infrastructure Security Agency (CISA) e del National Institute of Standards and Technology (NIST), migliorano la loro postura di sicurezza e proteggono meglio le proprie reti.

Nel modello Zero Trust la protezione delle reti è incentrata su tre obiettivi principali:

• Impedire l'accesso non autorizzato. Applicare criteri di autenticazione avanzata, verifica continua e privilegi minimi per ridurre il rischio di compromissione iniziale.
• Limitare l'impatto delle violazioni. Usare la segmentazione di rete, i micro-perimetrali e i controlli adattivi per contenere minacce e impedire lo spostamento laterale.
• Migliorare la visibilità e il controllo. Usare soluzioni come Secure Access Service Edge (SASE) per unificare l'imposizione dei criteri di sicurezza, monitorare il traffico e rispondere rapidamente alle minacce emergenti in ambienti cloud e ibridi.

Questi obiettivi sono allineati ai principi Zero Trust. Supportano soluzioni moderne come SASE, che integra funzioni di rete e sicurezza. Questa integrazione offre una protezione completa e una gestione centralizzata.

A tale scopo, seguire tre principi Zero Trust:

• Verificare esplicitamente. Autenticare e autorizzare sempre in base a tutti i dati disponibili. Includere identità utente, rete, posizione, integrità dei dispositivi, servizio o carico di lavoro, rischio utente e dispositivo, classificazione dei dati e anomalie.
• Usare il principio dell’accesso con privilegi minimi. Limitare l'accesso degli utenti con accesso Just-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.
• Presupporre le violazioni. Ridurre al minimo il raggio di influenza per le violazioni e impedire lo spostamento laterale segmentando l'accesso in base alla rete, all'utente, ai dispositivi e alla consapevolezza delle applicazioni. Bisogna verificare che tutte le sessioni siano crittografate secondo il principio end-to-end. Usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.

Obiettivi di distribuzione della rete Zero Trust

Zero Trust (ZT) è un modello di sicurezza che non presuppone alcun trust implicito e verifica continuamente ogni richiesta di accesso. Network Pillar in Zero Trust è incentrato sulla protezione delle comunicazioni, sulla segmentazione degli ambienti e sull'applicazione dell'accesso con privilegi minimi alle risorse.

Quando si implementa un framework Zero Trust end-to-end per la protezione delle reti, è consigliabile concentrarsi innanzitutto su:

• PerimetriNetwork-Segmentation e Software-Defined
• Secure Access Service Edge (SASE) & Zero Trust Network Access (ZTNA)
• Crittografia avanzata e comunicazione sicura
• Visibilità della rete e rilevamento delle minacce
• Controllo degli accessi basato su criteri e privilegi minimi

Al termine di questi obiettivi, concentrarsi sugli obiettivi 6 e 7.

Guida alla distribuzione di rete Zero Trust

Questa guida illustra i passaggi necessari per proteggere le reti seguendo i principi di un framework di sicurezza Zero Trust.

1. Segmentazione di rete e perimetri software definiti

La segmentazione di rete e Software-Defined perimetrali costituiscono la base del modello di sicurezza Zero Trust. Invece di basarsi su controlli statici basati su perimetro, la sicurezza viene applicata dinamicamente a livello di risorsa. Quando si partiziona l'infrastruttura in segmenti isolati usando la micro-segmentazione, si limita il movimento laterale degli utenti malintenzionati e si riduce al minimo l'effetto delle violazioni. SDP rafforza questo approccio creando micro perimetrali basati sulle identità su richiesta intorno a ogni interazione tra le risorse utente e convalidando continuamente il contesto prima di concedere l'accesso. In sintesi, seguire questi principi chiave:

• Limitare lo spostamento laterale implementando la segmentazione di rete con granularità fine (macro e micro segmentazione).
• Usare Software-Defined Rete (SDN) e Controllo di accesso alla rete (NAC) per applicare in modo dinamico i criteri.
• Adottare la segmentazione basata sull'identità sui metodi tradizionali basati su IP.

1.1 Strategia di segmentazione macro

Prima di approfondire la micro-segmentazione, è essenziale stabilire una strategia di segmentazione più ampia. La segmentazione di macro comporta la divisione della rete in segmenti più grandi in base a requisiti funzionali o di sicurezza generali. Questo approccio semplifica la gestione iniziale e fornisce una base su cui è possibile creare una granularità più fine, ad esempio la micro-segmentazione.

1.2 Segmentazione di rete: molti micro-perimetri cloud di ingresso/uscita con una certa micro-segmentazione

Le organizzazioni non devono avere solo un singolo canale di grandi dimensioni nella rete e all'esterno. In un approccio Zero Trust, le reti vengono invece segmentate in isole più piccole in cui sono contenuti carichi di lavoro specifici. Ogni segmento ha controlli in ingresso e in uscita propri per ridurre al minimo l'effetto dell'accesso non autorizzato ai dati. Implementando perimetrali software-defined con controlli granulari, si aumenta la difficoltà per gli attori non autorizzati di propagarsi in tutta la rete e quindi ridurre lo spostamento laterale delle minacce.

Non esiste una progettazione dell'architettura adatta alle esigenze di tutte le organizzazioni. È possibile scegliere tra alcuni modelli di progettazione comuni per segmentare la rete in base al modello Zero Trust.

In questa guida alla distribuzione vengono illustrati i passaggi per ottenere una di queste progettazioni: Micro-segmentazione.

Con la micro-segmentazione, le organizzazioni possono superare semplici perimetri centralizzati basati sulla rete fino alla segmentazione completa e distribuita usando micro-perimetrali software-defined.

1.3 Segmentazione di rete: microimetri cloud in ingresso/uscita completamente distribuiti e micro segmentazione più profonda

Dopo aver raggiunto i tre obiettivi iniziali, il passaggio successivo consiste nel segmentare ulteriormente la rete.

Segmentare e imporre i limiti esterni

Seguire questa procedura, a seconda del tipo di limite:

Limite Internet

• Per fornire connettività a Internet del percorso dell'applicazione tramite l'hub di rete virtuale, aggiornare le regole del gruppo di sicurezza di rete nell'hub di rete virtuale.
• Per proteggere l'hub di rete virtuale da attacchi a livello di rete e da attacchi al protocollo, attivare Protezione di rete DDoS di Azure.
• Se l'applicazione usa protocolli HTTP/S, attivare Web application firewall di Azure per proteggersi dalle minacce di livello 7.

Suggerimento

Il servizio Protezione DDoS di Azure protegge anche gli indirizzi IP pubblici nelle reti virtuali e non solo gli INDIRIZZI IP nella rete virtuale hub. Firewall di Azure può essere usato anche per controllare la connettività Internet in uscita. Per altre informazioni, vedere Pianificare la connettività Internet in ingresso e in uscita.

Limite locale

• Se l'app deve connettersi al data center locale o al cloud privato, usare Accesso privato Microsoft Entra, Azure ExpressRoute o VPN di Azure per la connettività all'hub di rete virtuale.
• Per controllare e gestire il traffico nell'hub di rete virtuale, configurare Firewall di Azure.

Limite dei servizi PaaS

• Quando si usano i servizi PaaS forniti da Azure, Archiviazione di Azure, Azure Cosmos DB o App Web di Azure, usare l'opzione di connettività PrivateLink per assicurarsi che tutti gli scambi di dati si trovino nello spazio IP privato e il traffico non esca mai dalla rete Microsoft.
• Se i servizi PaaS richiedono un limite sicuro per comunicare tra loro e gestire l'accesso alla rete pubblica, è consigliabile associarli a un perimetro di sicurezza di rete. La connettività di collegamento privato verrà rispettata per il traffico in arrivo attraverso endpoint privati di questi servizi PaaS, assicurando che tutti gli scambi di dati si trovino su indirizzi IP privati e il traffico non esca mai dalla rete Microsoft. Altre informazioni sul perimetro della sicurezza di rete e vedere l'elenco dei servizi PaaS supportati.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per i dati.

Partizionare i componenti dell'app in subnet diverse

Seguire questa procedura:

1. All'interno della rete virtuale aggiungere subnet di rete virtuale in modo che i componenti discreti di un'applicazione possano avere i propri perimetri.
2. Per consentire il traffico solo dalle subnet che hanno un componente dell'applicazione identificato come una controparte legittima per la comunicazione, applicare le regole del gruppo di sicurezza di rete.

In alternativa, firewall di Azure può essere usato anche per la segmentazione e consentire il traffico da subnet e reti virtuali specifiche.

• Usare Firewall di Azure per filtrare il flusso del traffico tra risorse cloud, Internet e risorse locali. Usare Firewall di Azure o Gestione firewall di Azure per creare regole o criteri che consentono o negano il traffico usando i controlli di livello 3 al livello 7. Per altre informazioni, vedere consigli per la creazione di una strategia di segmentazione.

Le applicazioni vengono partizionate in diverse Rete virtuale di Azure e connesse usando un modello hub-spoke

Seguire questa procedura:

1. Creare reti virtuali dedicate per applicazioni e/o componenti dell'applicazione diversi.
2. Creare una rete virtuale centrale per configurare il comportamento di sicurezza per la connettività tra app e connettere le reti virtuali dell'app in un'architettura hub-spoke.
3. Distribuire Firewall di Azure nell'hub di rete virtuale. Usare Firewall di Azure per controllare e gestire il traffico di rete.

1.5 Convalidare la segmentazione con Analisi del traffico di Network Watcher

Per garantire che la segmentazione di rete funzioni come previsto, le organizzazioni devono implementare Analisi del traffico di Azure Network Watcher. Questa funzionalità offre visibilità a livello di flusso analizzando i log dei flussi di rete virtuale, consentendo ai team di monitorare i modelli di traffico tra ambienti segmentati.

Analisi del traffico supporta la segmentazione Zero Trust per:

• Convalida dei criteri di segmentazione: identificare se il traffico scorre solo tra segmenti previsti e rilevare eventuali violazioni dei limiti di segmentazione.

• Rileva lo spostamento laterale: individua il traffico est-ovest inatteso o non autorizzato che potrebbe indicare una violazione o una configurazione errata.

• Miglioramento della visibilità: correlare i flussi di traffico con le regole del gruppo di sicurezza di rete e l'intelligence sulle minacce per ottenere informazioni dettagliate utili sul comportamento della rete.

• Supporto del miglioramento continuo: usare l'analisi per perfezionare le strategie di micro-segmentazione e applicare l'accesso con privilegi minimi in modo dinamico.

Integrando Analisi del traffico nella distribuzione Zero Trust, si ottiene la possibilità di valutare e migliorare continuamente l'efficacia della strategia di segmentazione, assicurandosi che i limiti di rete non siano solo definiti, ma monitorati e applicati attivamente.

2. Secure Access Service Edge (SASE) e Zero Trust Network Access (ZTNA)

Per proteggere efficacemente le reti moderne, le organizzazioni devono superare le soluzioni legacy e adottare approcci avanzati e integrati. Lo spostamento include l'adozione di soluzioni ZTNA (Zero Trust Network Access) per la connettività granulare basata sulle identità, l'applicazione di architetture SASE per unificare le funzionalità di rete e sicurezza e l'implementazione della convalida delle sessioni continue con controlli di accesso basati sul rischio. Queste strategie interagiscono per garantire che l'accesso venga sempre verificato, le minacce vengano ridotte al minimo e i criteri di sicurezza si adattino dinamicamente ai rischi in continua evoluzione.

2.1 Zero Trust Network Access (ZTNA)

L'accesso alla rete Zero Trust sostituisce VPN ampie basate su perimetro con connettività a grana fine, consapevole dell'identità e del contesto. Le tre funzionalità principali di ZTNA, ognuna descritta per Microsoft Global Secure Access e quindi per le opzioni del gateway VPN di Azure.

L'implementazione di ZTNA di Microsoft fa parte della funzionalità Global Secure Access (anteprima) in Microsoft Entra, basata sulla base di Security Service Edge (SSE).
Altre informazioni: Che cos'è l'accesso sicuro globale? (Microsoft Entra)

2.2 Modernizzare le VPN tradizionali con ZTNA con riconoscimento delle identità

Accesso globale sicuro
L'accesso sicuro globale di Microsoft sostituisce tunnel di rete ampi con connessioni basate su identità specifiche dell'app. Quando un utente richiede l'accesso, l'accesso sicuro globale usa l'ID Microsoft Entra per l'accesso Single Sign-On e l'accesso condizionale alla rete perimetrale. Non sono necessarie regole del firewall in ingresso. Nel portale utenti sono visibili solo le applicazioni approvate e le decisioni di accesso si basano sul comportamento del dispositivo (da Defender per endpoint) e sui segnali di rischio in tempo reale.

• Panoramica dell'accesso sicuro globale
• Panoramica dell'accesso privato

Gateway VPN di Azure
Modernizzare le VPN da punto a sito (P2S) integrando l'autenticazione con Microsoft Entra ID, applicando criteri di accesso condizionale (ad esempio MFA, conformità del dispositivo e percorsi denominati) prima di stabilire il tunnel. Negli hub della rete WAN virtuale di Azure la VPN da punto a sito e ExpressRoute opera su scala globale, con sicurezza e routing centralizzati tramite Gestione firewall di Azure. Questo approccio mantiene una connettività VPN familiare garantendo al tempo stesso l'accesso con privilegi minimi e con riconoscimento delle identità.

• Configurare la VPN da punto a sito con autenticazione ID Entra di Microsoft
• Panoramica di Azure rete WAN virtuale

2.3 Usare l'architettura SASE: Integrare funzioni di rete e sicurezza

Integrare funzioni di rete e sicurezza con SASE

Accesso globale sicuro
Global Secure Access offre funzionalità di Security Service Edge (SSE), tra cui Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Firewall-as-a-Service (FWaaS) in un framework SASE unificato. Il traffico utente, destinato alle applicazioni Internet o private, viene instradato attraverso la rete perimetrale globale di Microsoft. In questo caso vengono applicati l'ispezione TLS, il filtro url, la prevenzione della perdita dei dati e l'intelligence sulle minacce. Defender for Cloud Apps abilita il controllo sessione inline per le applicazioni SaaS, mentre Firewall di Azure protegge l'accesso alle app private.

• SWG in Global Secure Access:Microsoft Entra Internet Access
• CASB con Defender for Cloud Apps:Che cos'è Defender per le app cloud?

Questa architettura:

• Instrada il traffico degli utenti attraverso la rete perimetrale di Microsoft per l'ispezione e il controllo centralizzati
• Riduce la complessità unificando l'applicazione dei criteri di sicurezza
• Supporta l'instradamento del traffico e lo split tunneling per garantire prestazioni e conformità

Integrazione del gateway VPN di Azure
Gli endpoint VPN tradizionali possono essere integrati con firewall di Azure o appliance SWG partner usando configurazioni di tunnel forzato. La configurazione consente l'ispezione e il controllo del traffico VPN in uscita e in ingresso con Azure Firewall Manager, intelligence sulle minacce e controlli di sessione di Accesso Condizionale. È possibile applicare filtri URL, analisi approfondita dei pacchetti (DPI) e DLP alle sessioni VPN. Le politiche di sessione di Defender for Cloud Apps possono applicare i controlli di caricamento/download e il rilevamento di shadow IT nel traffico sottoposto a tunneling.

• Informazioni sulla VPN con tunnel forzato con Firewall di Azure

2.4 Implementare la convalida continua della sessione e l'accesso basato sul rischio

La convalida continua della sessione garantisce che le decisioni di accesso vengano applicate in tempo reale, non solo all'accesso iniziale. Questo approccio consente alle organizzazioni di rispondere rapidamente ai cambiamenti delle condizioni di rischio e di mantenere un comportamento di sicurezza forte.

Microsoft Global Secure Access
L'accesso alla rete Zero Trust non è un controllo una tantum. Microsoft Global Secure Access usa la valutazione dell'accesso continuo (CAE) per monitorare i segnali di rischio, ad esempio malware rilevato o posizioni insolite, e può revocare o rivalutare i token di accesso alle applicazioni e terminare la connettività di rete quando viene rilevato il rischio. Defender for Cloud Apps applica controlli sessione in tempo reale, ad esempio il blocco dei download, la quarantena delle sessioni o la richiesta di autenticazione a più fattori durante una sessione attiva. I playbook di risposta automatizzati in Microsoft Sentinel o Microsoft Defender XDR possono isolare i dispositivi compromessi o disabilitare gli account in tempo reale.

• Informazioni sulla valutazione dell'accesso continuo (CAE)
• Informazioni sui controlli sessione di Defender for Cloud Apps
• Informazioni sulla valutazione dell'accesso continuo universale (anteprima)

Gateway VPN di Azure Per le connessioni VPN che usano l'autenticazione Microsoft Entra ID, è supportata la valutazione dell'accesso continuo. Per le connessioni VPN che utilizzano l'autenticazione di Microsoft Entra ID, è supportata la Valutazione Continua dell'Accesso (CAE). Se l'accesso condizionale rileva un utente o un dispositivo rischioso, il tunnel VPN può essere chiuso o richiedere la riautenticazione. È possibile inviare log VPN a Microsoft Sentinel e usare playbook automatizzati per bloccare indirizzi IP, revocare l'accesso o inviare avvisi ai team di sicurezza, abilitando risposte rapide e basate sui rischi per le connessioni VPN.

• Autenticazione del gateway VPN con Microsoft Entra ID
• Automatizzare la risposta con i playbook di Microsoft Sentinel

3. Crittografia avanzata e comunicazione sicura

Le comunicazioni di rete moderne devono essere crittografate e protette in modo sicuro in ogni fase. Le organizzazioni devono:

• Usare Transport Layer Security (TLS) 1.3 e applicare la crittografia end-to-end per tutto il traffico di rete. TLS 1.3 offre sicurezza più avanzata, handshake più veloci e autenticazione client sempre crittografata, essenziale per proteggere i carichi di lavoro moderni.
• Applicare l'autenticazione reciproca (mTLS) tra carichi di lavoro e dispositivi per assicurarsi che le identità client e server siano verificate, impedendo l'accesso non autorizzato anche con credenziali valide.
• Bloccare protocolli non attendibili o legacy privi di crittografia, ad esempio TLS 1.0/1.1 o crittografie obsolete.

Annotazioni

Mentre TLS protegge il traffico legittimo, le minacce come malware e perdita di dati possono comunque essere nascoste all'interno di sessioni crittografate. L'ispezione TLS di Microsoft Entra Internet Access offre visibilità sul traffico crittografato, consentendo il rilevamento di malware, la prevenzione della perdita dei dati e i controlli di sicurezza avanzati. Altre informazioni sull'ispezione di Transport Layer Security.

Annotazioni

Firewall di Azure può eseguire l'ispezione TLS sul traffico di rete. Decrittografa i dati, applica il rilevamento e la prevenzione delle intrusioni (IDPS) o le regole dell'applicazione, quindi crittografa e inoltra i dati. Altre informazioni sull'ispezione TLS di Firewall di Azure e sui certificati Premium di Firewall di Azure.

Raccomandazioni chiave

• Servizio app di Azure e Frontdoor di Azure: Impostare La versione minima di TLS in ingresso su 1.3 per assicurarsi che vengano usati solo pacchetti di crittografia sicuri per le app Web. Per altre informazioni, vedere Applicare la versione minima di TLS per il servizio app e Frontdoor.
• Azure IoT Edge, hub IoT e altri servizi PaaS: Verificare che gli SDK del dispositivo supportino TLS 1.3 o limitano a TLS 1.2+.
• Gateway delle applicazioni di Azure (v2): supporta *mTLS* usando certificati convalidati da OCP per la verifica del client. Per altre informazioni, vedere Panoramica di TLS nel servizio app.
• Crittografare il traffico back-end dell'applicazione tra reti virtuali.
• Crittografare il traffico tra l'ambiente locale e il cloud:
  • Configurare una VPN da sito a sito tramite peering Microsoft ExpressRoute.
  • Usare la modalità di trasporto IPsec per il peering privato di ExpressRoute.
  • Configurare mTLS tra server attraverso il peering privato di ExpressRoute.

Bloccare protocolli non attendibili o obsoleti

• Endpoint di Azure (Servizio app, Archiviazione, SQL, Hub eventi e così via): Accettare solo TLS 1.2+ e applicare idealmente la versione 1.3, disabilitando le versioni legacy.
• Macchine virtuali e appliance di rete: Usare Criteri di Azure e Microsoft Defender for Cloud per analizzare i protocolli obsoleti (ad esempio SMBv1 o TLS <1.2 personalizzato) e applicare la correzione.
• Igiene operativa: Disabilitare crittografie e protocolli legacy a livello di sistema operativo o applicazione (ad esempio, disabilitare TLS 1.0/1.1 in Windows Server o SQL Server).

Prepararsi per la crittografia post-quantistica (PQC)

Gli algoritmi di crittografia a chiave pubblica tradizionali (ad esempio RSA e ECC) sono vulnerabili ai futuri computer quantistici. Microsoft ha integrato algoritmi resistenti al quantum (LMS e ML-DSA, FIPS 204) nella piattaforma, con un supporto PQC più ampio presto disponibile. Iniziare la transizione a TLS 1.3 e prepararsi per l'integrazione PQC man mano che vengono finalizzati gli standard.

3.1 Crittografia: il traffico interno da utente a app viene crittografato

Aggiungere la crittografia per assicurarsi che il traffico interno da utente a app sia crittografato.

Seguire questa procedura:

1. Imporre la comunicazione solo HTTPS per le applicazioni Web con connessione Internet reindirizzando il traffico HTTP a HTTPS tramite Frontdoor di Azure.
2. Connettere dipendenti/partner remoti a Microsoft Azure usando l'Gateway VPN di Azure.
3. Attivare la crittografia per qualsiasi traffico da punto a sito nel servizio azure Gateway VPN.
4. Accedere alle macchine virtuali di Azure in modo sicuro usando la comunicazione crittografata tramite Azure Bastion.
5. Connettersi tramite SSH a una macchina virtuale Linux.
6. Connettersi tramite Remote Desktop Protocol (RDP) a una macchina virtuale Windows.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per le applicazioni.

3.2 Crittografia: tutto il traffico

Infine, completare la protezione di rete assicurandosi che tutto il traffico sia crittografato.

Seguire questa procedura:

1. Crittografare il traffico back-end dell'applicazione tra reti virtuali.
2. Crittografare il traffico tra l'ambiente locale e il cloud:
   1. Configurare una VPN da sito a sito tramite peering Microsoft ExpressRoute.
   2. Configurare la modalità di trasporto IPsec per il peering privato di ExpressRoute.
   3. Configurare mTLS tra server attraverso il peering privato di ExpressRoute.

4. Visibilità della rete e rilevamento delle minacce

In un modello di sicurezza Zero Trust, il principio di "mai considerare attendibile, verificare sempre" non si applica solo agli utenti e ai dispositivi, ma anche al traffico di rete. Il monitoraggio e la registrazione dell'attività di rete sono fondamentali per l'applicazione di Zero Trust perché offre visibilità continua sulla modalità di accesso alle risorse, garantisce la conformità ai criteri di sicurezza e consente il rilevamento rapido di comportamenti sospetti o non autorizzati. Di seguito sono riportati gli elementi chiave che verranno illustrati in questa sezione:

• Distribuire il rilevamento e la risposta di rete (NDR) per monitorare e analizzare il traffico di rete.
• Usare DPI (Deep Packet Inspection) e il rilevamento anomalie basato su intelligenza artificiale per la ricerca di minacce in tempo reale.
• Gestire una registrazione centralizzata e l'integrazione SIEM/SOAR per l'analisi della rete.
• Distribuire il rilevamento esteso e la risposta (XDR) per analizzare i modelli di traffico, identificare le anomalie e prevenire violazioni.
• Integrare l'analisi basata sull'intelligenza artificiale per migliorare le risposte rapide alle minacce emergenti.
• Abilita un migliore rilevamento e risposta alle minacce adottando il ripristino dell'indirizzo IP di origine globale sicuro.
• Utilizzare i log e il monitoraggio di Accesso Sicuro Globale.

4.1 Protezione dalle minacce: protezione dalle minacce basata su Machine Learning e filtro con segnali basati sul contesto

Per una maggiore protezione dalle minacce, attivare Protezione di rete DDoS di Azure per monitorare costantemente il traffico dell'applicazione ospitata in Azure, usare framework basati su ML per la baseline e rilevare inondazioni del traffico metrico, rilevare gli attacchi al protocollo e applicare mitigazioni automatiche.

Seguire questa procedura:

1. Configurare e gestire Protezione di rete DDoS di Azure.
2. Configurare gli avvisi per le metriche di protezione DDoS.
3. Usare Microsoft Sentinel con Web application firewall di Azure
4. Usare Firewall di Azure con Microsoft Sentinel

4.2 Protezione dalle minacce: filtro nativo del cloud e protezione per minacce note

Le applicazioni cloud che aprono endpoint a ambienti esterni, ad esempio Internet o il footprint locale, sono a rischio di attacchi provenienti da tali ambienti. È quindi fondamentale analizzare il traffico per individuare payload o logica dannosi.

Questi tipi di minacce rientrano in due categorie generali:

• Attacchi noti. Minacce individuate dal provider di software o dalla community più ampia. In questi casi, la firma di attacco è disponibile ed è necessario assicurarsi che ogni richiesta venga verificata in base a tali firme. La chiave consiste nel poter aggiornare rapidamente il motore di rilevamento con eventuali attacchi appena identificati.

• Attacchi sconosciuti. Questi attacchi sono minacce che non corrispondono esattamente a nessuna firma nota. Questi tipi di minacce includono vulnerabilità zero-day e modelli insoliti nel traffico delle richieste. La capacità di rilevare tali attacchi dipende dalla capacità delle difese di sapere cosa è normale e cosa non è. Le difese devono essere costantemente apprese e aggiornate, ad esempio i modelli aziendali (e il traffico associato) si evolve.

Prendere in considerazione questi passaggi per proteggersi dalle minacce note:

• Implementare funzionalità di Microsoft Entra Internet Access, ad esempio il filtro del contenuto Web e l'ispezione TLS. Per altre informazioni, vedere Informazioni su Microsoft Entra Internet Access per tutte le app.

• Proteggere gli endpoint usando Web application firewall (WAF) di Azure tramite:

  1. Attivazione del set di regole predefinito o del set di regole di protezione OWASP top 10 per la protezione da attacchi noti a livello Web
  2. Attivazione del set di regole di protezione del bot per impedire ai bot dannosi di rimuovere informazioni, eseguire il stuffing delle credenziali e così via.
  3. Aggiunta di regole personalizzate per la protezione dalle minacce specifiche dell'azienda.

  È possibile usare una delle due opzioni seguenti:

  • Frontdoor di Azure
    • Creare criteri web application firewall in Frontdoor di Azure.
    • Configurare la protezione bot per Web Application Firewall.
    • Regole personalizzate per Web Application Firewall.
  • Gateway applicazione di Azure
    • Creare un gateway applicazione con un web application firewall.
    • Configurare la protezione bot per Web Application Firewall.
    • Creare e usare regole personalizzate di Web Application Firewall v2.

• Endpoint front-end con Firewall di Azure per i filtri IDPS e basati su intelligence sulle minacce al livello 4:

  • Distribuire e configurare Firewall di Azure tramite il portale di Azure.
  • Abilitare il filtro basato su intelligence sulle minacce per il traffico.

    Suggerimento

    Informazioni sull'implementazione di una strategia Zero Trust end-to-end per gli endpoint.

  • L'IDPS di Firewall di Azure rileva e impedisce le minacce nel traffico di rete quando abilitato

4.3 Monitoraggio e visibilità

Analisi del traffico

Analisi del traffico di Network Watcher svolge un ruolo fondamentale nella segmentazione Zero Trust analizzando i log dei flussi della rete virtuale per rilevare il traffico anomalo, convalidare i criteri di segmentazione e individuare i percorsi di accesso shadow IT o non configurati correttamente. Consente ai team di sicurezza di visualizzare il traffico tra segmenti e applicare controlli adattivi in base ai dati di telemetria in tempo reale.

Analisi dei log

Rilevamento e risposta estesi di Microsoft Defender (XDR)

Microsoft Defender Extended Detection and Response (XDR) è una suite unificata di difesa aziendale usata prima e dopo una violazione. La suite coordina il rilevamento, la prevenzione, l'indagine e la risposta in modo nativo tra endpoint, identità, posta elettronica e applicazioni. Usare Defender XDR per proteggere e rispondere a attacchi sofisticati.

• Indagare sugli avvisi
• Informazioni su Zero Trust con Defender XDR
• Informazioni su Defender XDR per il governo degli Stati Uniti

Microsoft Sentinel

Sviluppare query di analisi personalizzate e visualizzare i dati raccolti usando cartelle di lavoro.

• Rilevare le minacce con regole di analisi personalizzate
• Visualizzare i dati raccolti
• Usare cartelle di lavoro con Accesso sicuro globale

accesso alla reteAI-Enabled

Microsoft Sentinel

Usare Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta.

• Firewall di Azure con Microsoft Sentinel

Microsoft Entra ID Protection usa algoritmi di Machine Learning (ML) per rilevare gli utenti e i rischi di accesso. Usare le condizioni di rischio nei criteri di accesso condizionale per l'accesso dinamico, in base al livello di rischio.

• Microsoft Entra ID Protection - Protezione dell'ID
• Rilevamenti dei rischi
• Criteri di accesso basati sui rischi

Accesso globale sicuro

Sfruttando i log di accesso sicuro globale di Microsoft Entra, le organizzazioni possono tenere traccia dei tentativi di accesso, monitorare i flussi di dati e identificare le anomalie in tempo reale. Questo monitoraggio granulare consente di verificare che solo le identità autorizzate e i dispositivi accedano alle risorse sensibili, supportino la risposta agli eventi imprevisti e forniscano prove essenziali per i controlli e le indagini. La registrazione completa del traffico è quindi un elemento fondamentale nella gestione e nella dimostrazione dell'efficacia di un'architettura Zero Trust. Oltre ai log del traffico, sono disponibili log aggiuntivi per segnali aggiuntivi:

• Log e monitoraggio globali di accesso sicuro
• Log di controllo di accesso sicuro globale
• Accesso sicuro globale arricchito ai log di Microsoft 365
• Log globali del traffico di accesso sicuro
• Log di integrità della rete remota

4.4 Automazione e orchestrazione

L'automazione e l'orchestrazione sono essenziali per applicare i principi Zero Trust nell'infrastruttura di rete. Sfruttando l'imposizione automatica, la risposta e la governance, le organizzazioni possono ottenere connettività sicura e resiliente.

Rete di Azure

I servizi di rete di Azure, tra cui Firewall di Azure, gruppi di sicurezza di rete (NSG), rete WAN virtuale e protezione DDoS, possono essere distribuiti, regolati e monitorati usando strumenti di infrastruttura come codice (IaC), ad esempio modelli arm, Bicep, Terraform e Criteri di Azure.

Funzionalità principali:

• Distribuzione automatica: Usare le pipeline IaC per distribuire automaticamente i controlli di segmentazione di rete (NSG, Firewall di Azure) e filtri.
• Conformità continua: Applicare e correggere automaticamente gli standard di sicurezza (ad esempio, bloccare gli indirizzi IP pubblici, richiedere la crittografia) con Criteri di Azure.
• Integrazione di DevOps: Eseguire l'integrazione con i flussi di lavoro GitOps/DevOps per configurazioni di rete dichiarative controllate dalla versione.

Esempio: Distribuire automaticamente le regole del gruppo di sicurezza di rete e i criteri di Firewall di Azure quando viene effettuato il provisioning di una nuova subnet usando Bicep e Azure DevOps.

• Guida introduttiva: Creare un firewall di Azure e una politica di firewall - Bicep
• Proteggere il traffico dei pod con i criteri di rete - Servizio Azure Kubernetes

Microsoft Entra (Accesso sicuro globale con Identity Governance)

Microsoft Entra Global Secure Access combina l'accesso consapevole dell'identità con i controlli di rete, superando le VPN legacy. Identity Governance estende questa funzionalità con l'automazione delle autorizzazioni.

Funzionalità principali:

• Onboarding automatizzato: Effettua l'onboarding di app/servizi in Accesso privato o Proxy delle app utilizzando le API Microsoft Graph e i modelli di criteri.
• Gestione delle autorizzazioni: Definisci pacchetti di accesso alla rete con flussi di lavoro di approvazione, scadenze e verifiche di accesso.
• Deprovisioning dinamico: Rimuovere automaticamente le autorizzazioni di rete in base ai cambiamenti del ruolo o agli eventi del ciclo di vita.

Esempio: Assegnare un pacchetto di accesso che concede l'accesso privato a app specifiche quando un utente partecipa a un progetto, con scadenza e verifica dell'accesso applicati.

• Automatizzare le assegnazioni dei pacchetti di accesso con Entitlement Management

Microsoft Sentinel

Microsoft Sentinel fornisce playbook (App per la logica) per automatizzare il rilevamento e la risposta delle minacce di rete.

Funzionalità principali:

• Risposta automatica: Aggiornare le regole del gruppo di sicurezza di rete o di Firewall di Azure per bloccare indirizzi IP/domini dannosi.
• Quarantena delle risorse: Disabilitare le sessioni o mettere in quarantena le risorse modificando l'accesso condizionale.
• Arricchimento degli avvisi: Correlare gli avvisi di rete con log di flusso, DNS, identità e dati di telemetria del dispositivo.

Esempio: Sentinel rileva la comunicazione con un indirizzo IP dannoso noto; un playbook aggiorna i gruppi IP di Firewall di Azure e invia una notifica a SecOps.

• Esempio di playbook: bloccare IP dannoso nell'NSG di Azure
• Automatizzare la risposta alle minacce con i playbook di Sentinel

Microsoft Defender XDR

Microsoft Defender XDR automatizza il rilevamento, l'indagine e la risposta coordinata tra identità, endpoint e segnali di rete.

Funzionalità principali:

• Correlazione: Rileva lo spostamento laterale o i modelli di rete anomali usando l'identità e il contesto del dispositivo.
• Isolamento automatizzato: Isola i dispositivi compromessi e attiva le azioni di imposizione tra piattaforme.
• Integrazione: Funziona con Sentinel e Entra per una risposta agli incidenti completa.

Esempio: Defender per Endpoint rileva il traffico di comando e controllo (C2), XDR isola il dispositivo e attiva un playbook Sentinel per bloccare la destinazione nel Firewall di Azure.

• Indagine e risposta automatizzate in Defender XDR

5. Controllo degli accessi basato su criteri e privilegi minimi

Le reti Zero Trust moderne richiedono controlli di accesso adattivi granulari che applicano privilegi minimi e rispondono in modo dinamico ai rischi. L'accesso basato su criteri garantisce che gli utenti e i dispositivi ottengano solo le autorizzazioni minime necessarie, per il tempo più breve necessario e solo nelle condizioni corrette.

5.1 Implementare criteri di accesso con riconoscimento del contesto

• Usare l'accesso condizionale Microsoft Entra per definire criteri basati su utenti, dispositivi, posizione, applicazione e segnali di rischio.
• Per iniziare a pianificare la distribuzione dell'accesso condizionale per allineare le politiche ai requisiti della tua organizzazione.
• Accelerare la distribuzione con i modelli di criteri di accesso condizionale per scenari comuni.

5.2 Applicare controlli adattivi e basati sui rischi

• Richiedere l'autenticazione a più fattori (MFA) quando viene rilevato il rischio, ad esempio accessi non noti o dispositivi rischiosi.
• Usare l'autenticazione a più fattori basata sul rischio di accesso per richiedere automaticamente l'autenticazione a più fattori in base alla valutazione dei rischi in tempo reale.
• Informazioni sui rilevamenti dei rischi in Microsoft Entra ID Protection per informare le decisioni dei criteri e automatizzare la remediazione.

5.3 Applicare l'accesso JIT (Just-In-Time) e l'accesso con privilegi

• Applicare l'accesso JIT (Just-In-Time) usando Privileged Identity Management (PIM) per concedere autorizzazioni elevate solo quando necessario.
• Proteggere l'accesso alle applicazioni private con PIM e Accesso sicuro globale per ridurre i privilegi permanenti e limitare l'esposizione.

5.4 Accesso ibrido e specifico dell'applicazione

• Per gli ambienti ibridi, configurare i criteri di accesso per app usando le applicazioni di accesso sicuro globale.
• Abilitare l'amministrazione remota sicura usando SSH con Microsoft Entra Private Access per l'accesso granulare basato sui criteri del server.

5.5 Nega per impostazione predefinita e valutazione continua

• Applicare principi di negazione per impostazione predefinita a tutti i livelli di rete, concedendo l'accesso solo quando è esplicitamente consentito dai criteri.
• Valutare continuamente il rischio di sessione e applicare le modifiche dei criteri in tempo reale per ridurre al minimo la superficie di attacco.

Usare criteri con riconoscimento del contesto, basati sui rischi e privilegi minimi per ridurre l'accesso non autorizzato e limitare lo spostamento laterale nella rete.

6. Sicurezza del cloud e della rete ibrida

La protezione di ambienti cloud e ibridi richiede una combinazione di controlli moderni nativi del cloud e l'applicazione coerente dei criteri in tutte le piattaforme. Poiché le organizzazioni adottano architetture multicloud e ibride, è essenziale estendere i principi Zero Trust oltre i data center tradizionali a carichi di lavoro cloud, SaaS e ambienti PaaS.

6.1 Proteggere i carichi di lavoro cloud con micro-perimetri e firewall cloud-native

• Micro-perimetri: Usare la micro-segmentazione per creare limiti di sicurezza granulari per singoli carichi di lavoro, applicazioni o servizi. Questo limita lo spostamento laterale e contiene potenziali violazioni all'interno di segmenti isolati.
• Firewall nativi del cloud: Distribuire soluzioni come Firewall di Azure per controllare e controllare il traffico tra carichi di lavoro cloud, applicare filtri basati sull'intelligence sulle minacce e applicare le regole di applicazione e di rete su larga scala.
• Gruppi di sicurezza di rete (NSG): Usare i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni per definire e applicare controlli di accesso con granularità fine per le risorse all'interno delle reti virtuali.
• Endpoint privati: Usare collegamento privato di Azure per limitare l'accesso ai servizi PaaS tramite indirizzi IP privati, assicurando che il traffico rimanga all'interno del backbone Microsoft attendibile.

6.2 Integrare proxy con riconoscimento delle identità per la sicurezza SaaS e PaaS

• Proxy con riconoscimento delle identità: Implementare soluzioni come Microsoft Entra Private Access per brokerare l'accesso alle applicazioni SaaS e PaaS. Questi proxy applicano l'autenticazione, la conformità dei dispositivi e i criteri di accesso condizionale prima di concedere l'accesso. Si consideri Microsoft Entra Internet Access per l'accesso a Internet consapevole dell'identità.
• Cloud Access Security Broker (CASB): Usare Microsoft Defender for Cloud Apps per individuare, monitorare e controllare l'utilizzo di SaaS, applicare la prevenzione della perdita dei dati (DLP) e applicare i controlli sessione per le applicazioni cloud.
• Convalida continua della sessione: Applicare l'imposizione dei criteri in tempo reale e basata sul rischio per l'accesso SaaS e PaaS, inclusi i controlli adattivi basati su contesto utente, dispositivo e sessione.

6.3 Garantire un'applicazione coerente dei criteri di sicurezza in ambienti ibridi e multicloud

• Gestione unificata dei criteri: Usare piattaforme come l'accesso condizionale Microsoft Entra e Criteri di Azure per definire e applicare criteri di sicurezza coerenti in locale, Azure e altri provider di servizi cloud.
• Connettività ibrida: Proteggere le connessioni ibride usando gateway VPN di Azure, ExpressRoute e applicare i controlli di crittografia e accesso per tutto il traffico tra ambienti.
• Monitoraggio e risposta centralizzati: Integrare log ed eventi di sicurezza da tutti gli ambienti in Microsoft Sentinel o nella piattaforma SIEM/SOAR per visibilità unificata, rilevamento delle minacce e risposta automatica.
• Gestione del comportamento di sicurezza multicloud: Usare strumenti come Microsoft Defender for Cloud per valutare, monitorare e migliorare il comportamento di sicurezza delle risorse in Azure e in altri provider di servizi cloud.

Le organizzazioni che implementano queste strategie possono ottenere una sicurezza end-to-end affidabile per le reti cloud e ibride. L'approccio garantisce che i principi Zero Trust vengano applicati in modo coerente, indipendentemente dalla posizione in cui risiedono i carichi di lavoro e i dati.

7. Interrompere la tecnologia di sicurezza di rete legacy

Zero Trust rifiuta l'attendibilità implicita in qualsiasi segmento di rete o dispositivo. Controlli legacy incentrati sul perimetro, ad esempio tunnel VPN flat, ispezione del traffico "hair-pin", elenchi di controllo di accesso hardcoded (ACL) e firewall di rete statici, non forniscono più la protezione adattiva, compatibile con identità e compatibile con il contesto necessaria per ambienti ibridi e nativi del cloud moderni. Per realizzare completamente Zero Trust, le organizzazioni devono ritirare queste tecnologie obsolete a favore dei servizi di sicurezza basati sull'identità e definiti dal software.

7.1 Ambito del ritiro

Le tecnologie obsolete da dismettere includono:

• VPN tradizionali che concedono l'accesso alla rete ampio in base esclusivamente ai certificati del dispositivo o alle chiavi condivise.
• Firewall di rete rigidi con set di regole statici e visibilità limitata a livello di applicazione.
• Proxy web legacy che non dispongono dell'ispezione delle minacce in-linea o del controllo delle sessioni.
• ACL di rete o segmentazione basata su route senza integrazione negli segnali relativi all'identità o allo stato dei dispositivi.

7.2 Principi di sostituzione

Per ogni controllo deprecato, adottare un'alternativa zero trust moderna che:

• Applica l'accesso con privilegi minimi al livello dell'applicazione o del carico di lavoro usando l'accesso alla rete Zero Trust.
• Integra l'identità e il comportamento del dispositivo (usando Microsoft Entra ID e Microsoft Defender per endpoint) in ogni decisione di accesso.
• Offre la convalida continua attraverso la valutazione continua dell'accesso e la rivalutazione della sessione.
• Offre visibilità e controllo definiti dal software tramite soluzioni SASE (Secure Access Service Edge) e Security Service Edge (SSE), come Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) e Network Detection and Response (NDR).

7.3 Strategia di transizione

1. Inventaria e prioritizza

   • Cataloga tutte le appliance legacy e i profili VPN.
   • Classificare in base alla criticità (app pubbliche, connettività dei partner, amministrazione remota).

2. Pilota e convalida

   • Creare progetti pilota ZTNA utilizzando Microsoft Global Secure Access o il gateway VPN di Azure con l'autenticazione con ID Microsoft Entra per i set di applicazioni a basso rischio.
   • Convalidare la connettività, le prestazioni e l'applicazione dei criteri.

3. Riduzione graduale

   • Eseguire la migrazione delle coorti degli utenti e dei gruppi di applicazioni a ondate, monitorando le metriche di successo (ad esempio, tempo di accesso, ticket helpdesk e avvisi di sicurezza).
   • Reindirizzare simultaneamente il traffico attraverso lo stack SASE o SSE scelto.

4. Disattivazione formale

   • Disattivare i dispositivi hardware e annullare le configurazioni VPN legacy.
   • Aggiornare diagrammi di rete e runbook operativi per rimuovere la tecnologia deprecata.

Prodotti trattati in questa guida

Rete di Azure

Rete virtuale e subnet

Gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni

Firewall di Azure

Protezione di Azure dagli attacchi DDoS

Web application firewall di Azure

Gateway VPN di Azure

Azure ExpressRoute

Azure Network Watcher

Microsoft Entra Private Access

Microsoft Entra Internet Access

Conclusione

La protezione delle reti è fondamentale per una strategia zero trust riuscita. Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success o continuare a leggere gli altri capitoli di questa guida, che si estende su tutti i pilastri zero trust.