Riassunto

Completato

In questo modulo si è appreso come pianificare e implementare misure di sicurezza avanzate per le risorse di calcolo di Azure per proteggersi da vulnerabilità e minacce alla sicurezza in continua evoluzione.

Apprendimento chiave

Sono state esaminate strategie di sicurezza complete in più servizi di calcolo di Azure:

Proteggere l'accesso remoto

• Azure Bastion offre accesso RDP/SSH sicuro senza esporre le macchine virtuali alla rete Internet pubblica, con quattro livelli SKU:
  • SKU per sviluppatori: opzione conveniente per scenari di sviluppo/test (due connessioni simultanee)
  • SKU Basic: accesso remoto sicuro Standard (nessun supporto client nativo)
  • SKU Standard: funzionalità avanzate, tra cui il supporto client nativo e i collegamenti condivisibili
  • SKU Premium: funzionalità avanzate, tra cui la registrazione delle sessioni, la distribuzione solo privata e il supporto delle porte personalizzate
• L'accesso JIT alle macchine virtuali riduce le superfici di attacco fornendo accesso limitato al tempo alle macchine virtuali

Sicurezza del servizio Azure Kubernetes

• Workload identity con federazione OIDC fornisce un'autenticazione sicura alle risorse di Azure (sostituisce la pod-managed identity deprecata)
• Isolamento della rete attraverso delle policy di rete che controllano la comunicazione da pod a pod
• Gli standard di sicurezza dei pod applicano i criteri di sicurezza a livello di pod
• AKS Automatic offre una configurazione cluster semplificata e pronta per la produzione
• Azure Linux 3 dovrebbe essere utilizzato perché il supporto per Azure Linux 2.0 terminerà il 30 novembre 2025.

Sicurezza e monitoraggio dei contenitori

• Microsoft Defender per contenitori offre una protezione dalle minacce completa in cinque domini principali:
  • Gestione del comportamento di sicurezza cloud
  • Valutazione della vulnerabilità basata su Microsoft Defender Vulnerability Management (MDVM)
  • Rilevamento delle minacce in fase di esecuzione
  • Rinforzo della sicurezza dell'ambiente Kubernetes
  • Protezione della catena di approvvigionamento software
• Informazioni dettagliate sui contenitori (una funzionalità di Monitoraggio di Azure) fornisce il monitoraggio delle prestazioni e dell'integrità per i carichi di lavoro dei contenitori
• La distribuzione controllata (GA) impedisce la distribuzione di immagini vulnerabili nell'ambiente di produzione
• L'analisi dei contenitori di runtime (GA) offre una valutazione continua della vulnerabilità

Sicurezza del registro contenitori

• Azure Container Registry supporta sette ruoli RBAC predefiniti per un controllo granulare degli accessi
• I metodi di autenticazione includono identità di Microsoft Entra, autorizzazioni con ambito repository e account amministratore
• L'integrazione con Microsoft Entra ID consente la gestione centralizzata delle identità

Protezione dei dati

• Crittografia Dischi di Azure (ADE) usa BitLocker (Windows) e dm-crypt (Linux) per crittografare i dischi VM
• La crittografia nell'host fornisce la crittografia end-to-end per i dati delle macchine virtuali
• La crittografia dei dischi riservati protegge i carichi di lavoro sensibili con sicurezza basata su hardware
• Azure Key Vault funge da gestione centralizzata di chiavi e certificati
• La crittografia envelope con la gerarchia DEK/KEK offre protezione dei dati a più livelli

Sicurezza api

• La baseline di sicurezza di Gestione API di Azure è allineata a Microsoft Cloud Security Benchmark (anteprima v2 disponibile)
• L'integrazione della rete virtuale abilita configurazioni di rete interne o esterne
• Gli endpoint privati forniscono accesso sicuro senza esposizione pubblica
• L'integrazione di Microsoft Entra ID abilita l'autenticazione OAuth 2.0 per le API
• Le identità gestite semplificano l'accesso sicuro alle risorse di Azure, ad esempio Key Vault

Procedure consigliate applicate

In questo modulo si è appreso come applicare le procedure consigliate per la sicurezza:

• Utilizzare l'identità workload invece dell'identità gestita da pod deprecata per l'autenticazione AKS
• Abilitare l'autenticazione di Microsoft Entra ID sui metodi di autenticazione locale laddove possibile
• Implementare l'accesso con il minimo privilegio usando Azure RBAC (controllo degli accessi in base al ruolo) per un controllo granulare delle autorizzazioni
• Usare le identità gestite per evitare di archiviare le credenziali nel codice o nella configurazione
• Abilitare la crittografia dei dati inattivi e la crittografia in transito per tutti i dati sensibili
• Distribuire endpoint privati per mantenere il traffico fuori dalla rete Internet pubblica
• Monitorare con Microsoft Defender per contenitori e informazioni dettagliate sui contenitori per ottenere visibilità completa
• Applicare i criteri di rete per implementare la micro-segmentazione nei cluster di AKS.
• Archiviare segreti e chiavi in Azure Key Vault anziché nel codice dell'applicazione
• Usare Criteri di Azure per applicare configurazioni di sicurezza tra le risorse

Passaggi successivi

Per continuare a rafforzare le competenze di sicurezza di Azure:

• Esplorare Microsoft Defender for Cloud per la gestione unificata della sicurezza
• Esaminare le baseline di sicurezza di Azure per indicazioni specifiche del servizio
• Implementare i controlli di Microsoft Cloud Security Benchmark nell'ambiente
• Informazioni sul confidential computing di Azure per la protezione dei dati in uso
• Configurare Criteri di Azure per applicare gli standard di sicurezza dell'organizzazione