Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il gateway applicazione di Azure è un servizio di bilanciamento del carico del traffico Web che consente di gestire il traffico verso le applicazioni Web. In qualità di componente critico nell'infrastruttura di rete, il gateway applicazione gestisce le richieste in ingresso e le indirizza ai servizi back-end, rendendo essenziale implementare misure di sicurezza appropriate per la protezione dalle minacce e garantire la conformità ai requisiti di sicurezza dell'organizzazione.
Questo articolo fornisce indicazioni su come proteggere al meglio la distribuzione del gateway applicazione di Azure.
Sicurezza della rete
La sicurezza di rete per il gateway applicazione comporta il controllo del flusso del traffico, l'implementazione della segmentazione appropriata e la protezione delle comunicazioni tra client e servizi back-end.
Distribuire in una subnet dedicata: posizionare il gateway applicazione in una subnet dedicata all'interno della rete virtuale per fornire l'isolamento della rete e abilitare il controllo granulare del traffico. Questa separazione consente di contenere potenziali eventi imprevisti di sicurezza e di definire criteri di sicurezza mirati.
Applicare gruppi di sicurezza di rete: usare i gruppi di sicurezza di rete (NSG) per limitare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare l'accesso solo alle porte necessarie e impedire l'accesso alle porte di gestione da reti non attendibili. Per altre informazioni, vedere Gruppi di sicurezza di rete.
Configurare gli endpoint privati: distribuire endpoint privati per il gateway applicazione, quando supportato, per stabilire punti di accesso privati che eliminano l'esposizione all'Internet pubblico. In questo modo si riduce la superficie di attacco mantenendo il traffico all'interno della rete virtuale. Per altre informazioni, vedere Configurare il collegamento privato del gateway applicazione di Azure (anteprima).
Abilitare la protezione DDoS: distribuire Protezione di rete DDoS di Azure nella rete virtuale che ospita il gateway applicazione per proteggersi da attacchi DDoS su larga scala. In questo modo sono disponibili funzionalità avanzate di mitigazione DDoS, tra cui l'ottimizzazione adattiva e le notifiche di attacco. Per altre informazioni, vedere Proteggere il gateway applicazione con Protezione di rete DDoS di Azure.
Implementare la configurazione dell'infrastruttura appropriata: seguire la configurazione consigliata dell'infrastruttura di Azure per assicurarsi che il gateway applicazione venga distribuito con le procedure consigliate per la sicurezza. Sono incluse le dimensioni appropriate della subnet, la configurazione della tabella di route e le dipendenze di rete. Per altre informazioni, vedere la configurazione dell'infrastruttura del gateway applicazione.
Protezione delle applicazioni Web
Web application firewall offre una protezione essenziale da vulnerabilità Web comuni e attacchi destinati alle applicazioni.
Distribuire Web application firewall: abilitare WAF nel gateway applicazione per proteggersi dalle 10 principali minacce OWASP, tra cui SQL injection, scripting tra siti e altri attacchi Web comuni. Iniziare in modalità rilevamento per comprendere i modelli di traffico, quindi passare alla modalità prevenzione per bloccare attivamente le minacce. Per ulteriori informazioni, vedere Che cos'è Web Application Firewall di Azure nel Gateway delle applicazioni di Azure?
Configurare regole WAF personalizzate: creare regole personalizzate per affrontare minacce specifiche destinate alle applicazioni, tra cui la limitazione della frequenza, il blocco IP e il filtro geografico. Le regole personalizzate forniscono una protezione mirata aggiuntiva oltre ai set di regole gestite. Per altre informazioni, vedere Creare e usare regole personalizzate v2.
Abilitare la protezione bot: usare il set di regole gestite di protezione bot per identificare e bloccare i bot dannosi, consentendo al contempo il traffico legittimo dai motori di ricerca e dagli strumenti di monitoraggio. Per altre informazioni, vedere Configurare la protezione dei bot.
Implementare la limitazione della frequenza: configurare regole di limitazione della frequenza per evitare attacchi DDoS e abusi controllando il numero di richieste consentite dai singoli indirizzi IP all'interno di intervalli di tempo specificati. Per altre informazioni, vedere Panoramica della limitazione della frequenza.
Gestione delle identità e degli accessi
I controlli di autenticazione e autorizzazione appropriati assicurano che solo gli utenti e i sistemi autorizzati possano accedere al gateway applicazione e alla relativa configurazione.
Configurare l'autenticazione reciproca: implementare l'autenticazione TLS reciproca per verificare i certificati client, fornendo un livello aggiuntivo di sicurezza per le applicazioni sensibili. In questo modo, il client e il server si autenticano tra loro. Per altre informazioni, vedere Configurare l'autenticazione reciproca con il gateway applicazione tramite il portale.
Usare il controllo degli accessi in base al ruolo di Azure RBAC per l'accesso alla gestione: applicare il controllo degli accessi in base al ruolo per limitare chi può modificare le configurazioni del gateway applicazione. Assegnare le autorizzazioni minime necessarie agli utenti e agli account del servizio. Per altre informazioni, vedere Ruoli predefiniti di Azure.
Protezione dei dati
La protezione dei dati per il gateway applicazione è incentrata sulla protezione dei dati in transito e sulla gestione corretta di certificati e segreti.
Abilitare la crittografia TLS: configurare la terminazione TLS per crittografare i dati in transito tra i client e il gateway applicazione. Assicurarsi di usare la versione più recente per proteggersi da vulnerabilità note. Per altre informazioni, vedere Panoramica della terminazione TLS e di TLS end-to-end con il gateway applicazione.
Archiviare i certificati in Azure Key Vault: usare Azure Key Vault per archiviare e gestire in modo sicuro i certificati TLS anziché incorporarli nei file di configurazione. Ciò consente la rotazione automatica dei certificati e la gestione centralizzata dei segreti. Per altre informazioni, vedere Terminazione TLS con certificati di Key Vault.
Configurare la gestione sicura dei certificati: configurare la rotazione automatica dei certificati in Azure Key Vault in base a una pianificazione definita o quando si avvicina la scadenza. Assicurarsi che la generazione di certificati segua gli standard di sicurezza con dimensioni di chiave sufficienti e periodi di validità appropriati. Per altre informazioni, vedere Configurare un gateway applicazione con terminazione TLS usando il portale di Azure.
Implementare il reindirizzamento da HTTP a HTTPS: configurare il reindirizzamento automatico da HTTP a HTTPS per assicurarsi che tutto il traffico sia crittografato. Ciò impedisce la trasmissione di dati sensibili in testo non crittografato. Per altre informazioni, vedere Creare un gateway applicazione con reindirizzamento da HTTP a HTTPS usando il portale di Azure.
Configurare TLS end-to-end: abilitare la crittografia TLS tra il gateway applicazione e i server back-end per la massima protezione dei dati nell'intero percorso di comunicazione. Per altre informazioni, vedere Panoramica della terminazione TLS e di TLS end-to-end con il gateway applicazione.
Monitoraggio e rilevamento delle minacce
La registrazione e il monitoraggio offrono visibilità sulle operazioni del gateway applicazione e consentono di rilevare potenziali minacce alla sicurezza.
Abilitare la registrazione diagnostica: configurare i log delle risorse di Azure per acquisire informazioni dettagliate sulle operazioni del gateway applicazione, inclusi modelli di accesso, metriche delle prestazioni ed eventi di sicurezza. Inviare questi log a un'area di lavoro Log Analytics o a un account di archiviazione per l'analisi. Per altre informazioni, vedere Log di diagnostica e integrità del back-end per il gateway applicazione.
Configurare probe di integrità personalizzati: configurare probe di integrità personalizzati per monitorare l'integrità del server back-end in modo più efficace rispetto ai probe predefiniti. I probe personalizzati possono rilevare i problemi a livello di applicazione e garantire che il traffico raggiunga solo server integri. Per altre informazioni, vedere Panoramica dei probe di integrità del gateway applicazione.
Configurare il monitoraggio e gli avvisi: creare avvisi basati su metriche e log del gateway applicazione per rilevare modelli di traffico insoliti, tentativi di autenticazione non riusciti o anomalie delle prestazioni che potrebbero indicare problemi di sicurezza. Usare Monitoraggio di Azure per stabilire le prestazioni di base e identificare le deviazioni.
Implementare la gestione centralizzata dei log: integrare i log del gateway applicazione con il sistema SIEM (Security Information and Event Management) per correlare gli eventi nell'infrastruttura e abilitare il rilevamento e la risposta automatizzati delle minacce.
Monitorare l'integrità back-end: usare la funzionalità Integrità back-end per monitorare continuamente lo stato dei server back-end e identificare rapidamente potenziali problemi di sicurezza o disponibilità. Per altre informazioni, vedere Visualizzare l'integrità back-end tramite il portale.
Gestione delle risorse
Gestione cespiti garantisce che le configurazioni del gateway applicazione vengano monitorate correttamente e siano conformi ai criteri dell'organizzazione.
Implementare la governance di Criteri di Azure: usare Criteri di Azure per controllare e applicare le configurazioni nelle distribuzioni del gateway applicazione. Creare criteri che impediscano configurazioni non sicure e garantire la conformità agli standard di sicurezza. Per altre informazioni, vedere Definizioni predefinite di Criteri di Azure per i servizi di rete di Azure.
Monitorare la conformità della configurazione: usare Microsoft Defender per il cloud per monitorare continuamente le configurazioni del gateway applicazione e ricevere avvisi quando vengono rilevate deviazioni dalle baseline di sicurezza. Configurare la correzione automatica, se possibile, per mantenere un comportamento di sicurezza coerente.