Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Riepilogo: per applicare i principi Zero Trust ai componenti e all'infrastruttura IaaS di Azure, è prima necessario comprendere l'architettura di riferimento comune e i componenti di archiviazione di Azure, macchine virtuali e reti virtuali spoke e hub.
Questa serie di articoli illustra come applicare i principi di Zero Trust ai carichi di lavoro in Microsoft Azure IaaS in base a un approccio multidisciplinare per applicare i principi Zero Trust. Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente:
- Verificare esplicitamente
- Usare l'accesso con privilegi minimi
- Presunzione di violazione
L'implementazione della mentalità Zero Trust per "presupporre violazioni, non considerare mai attendibili, verificare sempre" richiede modifiche all'infrastruttura cloud, alla strategia di distribuzione e all'implementazione.
Queste serie iniziali di cinque articoli (inclusa questa introduzione) illustrano come applicare l'approccio Zero Trust a uno scenario aziendale IT comune basato sui servizi di infrastruttura. Il lavoro è suddiviso in unità che possono essere configurate insieme come segue:
- Archiviazione di Azure
- Macchine virtuali
- Reti virtuali spoke per carichi di lavoro basati su macchine virtuali
- Reti virtuali hub per supportare l'accesso a molti carichi di lavoro in Azure
Per ulteriori informazioni, vedere Applicare i principi di Zero Trust ad Azure Virtual Desktop.
Nota
Altri articoli verranno aggiunti a questa serie in futuro, tra cui il modo in cui le organizzazioni possono applicare un approccio Zero Trust alle applicazioni, alle reti, ai dati e ai servizi DevOps basati su ambienti aziendali IT reali.
Importante
Questa guida Zero Trust descrive come utilizzare e configurare diverse soluzioni e funzionalità di sicurezza disponibili in Azure per un'architettura di riferimento. Diverse altre risorse forniscono anche indicazioni sulla sicurezza per queste soluzioni e funzionalità, tra cui:
Per descrivere come applicare un approccio Zero Trust, questa guida è destinata a un modello comune usato nell'ambiente di produzione da molte organizzazioni: un'applicazione basata su macchine virtuali ospitata in una rete virtuale (e un'applicazione IaaS). Si tratta di un modello comune per le organizzazioni che eseguono la migrazione di applicazioni locali ad Azure, talvolta definite "lift-and-shift". L'architettura di riferimento include tutti i componenti necessari per supportare questa applicazione, inclusi i servizi di archiviazione e una rete virtuale hub.
L'architettura di riferimento riflette un modello di distribuzione comune negli ambienti di produzione. Non si basa sulle zone di destinazione su scala aziendale consigliate in Cloud Adoption Framework (CAF), anche se molte delle procedure consigliate in CAF sono incluse nell'architettura di riferimento, ad esempio l'uso di una rete virtuale dedicata per ospitare i componenti che brokerano l'accesso all'applicazione (rete virtuale hub).
Per informazioni sulle linee guida consigliate nelle zone di destinazione di Azure di Cloud Adoption Framework, vedere queste risorse:
Architettura di riferimento
La figura seguente illustra l'architettura di riferimento per questa guida Zero Trust.
Questa architettura contiene:
- Più componenti e elementi IaaS, inclusi diversi tipi di utenti e consumer IT che accedono all'app da siti diversi. ad esempio Azure, Internet, in locale e succursali.
- Applicazione a tre livelli comune contenente un livello front-end, un livello applicazione e un livello dati. Tutti i livelli vengono eseguiti in macchine virtuali all'interno di una rete virtuale denominata SPOKE. L'accesso all'app è protetto da un'altra rete virtuale denominata HUB che contiene servizi di sicurezza aggiuntivi.
- Alcuni dei servizi PaaS più usati in Azure che supportano le applicazioni IaaS, tra cui il controllo degli accessi in base al ruolo e l'ID Microsoft Entra, che contribuiscono all'approccio alla sicurezza Zero Trust.
- BLOB di archiviazione e file di archiviazione che forniscono l'archiviazione degli oggetti per le applicazioni e i file condivisi dagli utenti.
Questa serie di articoli illustra le raccomandazioni per l'implementazione di Zero Trust per l'architettura di riferimento risolvendo ognuna di queste parti più grandi ospitate in Azure, come illustrato di seguito.
Il diagramma illustra le aree più grandi dell'architettura affrontate da ogni articolo di questa serie:
È importante notare che le linee guida contenute in questa serie di articoli sono più specifiche per questo tipo di architettura rispetto alle linee guida fornite in Cloud Adoption Framework e nelle architetture delle zone di destinazione di Azure. Se sono state applicate le linee guida in una di queste risorse, assicurarsi di esaminare anche questa serie di articoli per consigli aggiuntivi.
Informazioni sui componenti di Azure
Il diagramma dell'architettura di riferimento fornisce una visione topologica dell'ambiente. È anche utile vedere logicamente come ognuno dei componenti può essere organizzato all'interno dell'ambiente Azure. Il diagramma seguente consente di organizzare le sottoscrizioni e i gruppi di risorse. Le sottoscrizioni di Azure potrebbero essere organizzate in modo diverso.
In questo diagramma l'infrastruttura di Azure è contenuta all'interno di un tenant di Microsoft Entra ID. Nella tabella seguente vengono descritte le diverse sezioni illustrate nel diagramma.
Sottoscrizioni di Azure
È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo è descritto nella documentazione del Cloud Adoption Framework e della Zona di atterraggio di Azure a cui si fa riferimento in precedenza. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dalla modalità di separazione dell'ambiente e dal numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare autorizzazioni con il controllo degli accessi in base al ruolo e i criteri di Azure a un gruppo di sottoscrizioni invece di configurare ogni sottoscrizione singolarmente.
Microsoft Defender per il cloud e Monitoraggio di Azure
Per ogni sottoscrizione di Azure è disponibile un set di soluzioni di Monitoraggio di Azure e Defender per il cloud. Se si gestiscono queste sottoscrizioni tramite un gruppo di gestione, è possibile consolidare in un unico portale per tutte le funzionalità di Monitoraggio di Azure e Defender per il cloud. Ad esempio, Secure Score, fornito da Defender per il Cloud, viene consolidato per tutte le sottoscrizioni, usando un Gruppo di Gestione come ambito.
Gruppo di risorse di archiviazione (1)
L'account di archiviazione è contenuto in un gruppo di risorse dedicato. È possibile isolare ogni account di archiviazione in un gruppo di risorse diverso per un controllo delle autorizzazioni più granulare. I servizi di archiviazione di Azure sono contenuti all'interno di un account di archiviazione dedicato. È possibile avere un account di archiviazione per ogni tipo di carico di lavoro di archiviazione, ad esempio un archivio oggetti (detto anche archiviazione BLOB) e File di Azure. Ciò offre un controllo di accesso più granulare e può migliorare le prestazioni.
Gruppo di risorse - macchine virtuali (2)
Le macchine virtuali sono contenute in un gruppo di risorse. È anche possibile avere ogni tipo di macchina virtuale per i livelli di carico di lavoro, ad esempio front-end, applicazione e dati in gruppi di risorse diversi per isolare ulteriormente il controllo di accesso.
Gruppi di risorse di rete virtuale spoke (3) e hub (4) in abbonamenti separati
La rete e altre risorse per ognuna delle reti virtuali nell'architettura di riferimento sono isolate all'interno di gruppi di risorse dedicati per le reti virtuali spoke e hub. Questa organizzazione funziona bene quando la responsabilità di questi viene gestita da team diversi. Un'altra opzione consiste nell'organizzare questi componenti inserendo tutte le risorse di rete in un gruppo di risorse e le risorse di sicurezza in un altro. Dipende dal modo in cui l'organizzazione è configurata per gestire queste risorse.
Protezione dalle minacce con Microsoft Defender per il cloud
Microsoft Defender per il cloud è una soluzione di rilevamento e risposta estesa (XDR) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso da tutto l'ambiente. Defender per il cloud deve essere usato insieme a Microsoft Defender XDR per offrire una maggiore ampiezza della protezione correlata dell'ambiente, come illustrato nel diagramma seguente.
Nel diagramma:
- Defender per il cloud è abilitato per un gruppo di gestione che include più sottoscrizioni di Azure.
- Microsoft Defender XDR è abilitato per i dati e le app di Microsoft 365, le app SaaS che sono integrate con Microsoft Entra ID e i server dei servizi di dominio di Active Directory (AD DS).
Per altre informazioni sulla configurazione dei gruppi di gestione e sull'abilitazione di Defender per il cloud, vedere:
- Organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti
- Abilitare Defender per il cloud in tutte le sottoscrizioni in un gruppo di gestione
Soluzioni di sicurezza in questa serie di articoli
Zero Trust prevede l'applicazione di più discipline di sicurezza e protezione delle informazioni insieme. In questa serie di articoli, questo approccio multi-disciplina viene applicato a ognuna delle unità di lavoro per i componenti dell'infrastruttura come indicato di seguito:
Applicare i principi Zero Trust all'archiviazione di Azure
- Proteggere i dati in tutte e tre le modalità: dati inattivi, dati in transito e dati in uso
- Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi
- Separare o isolare logicamente i dati critici con i controlli di rete
- Usare Defender per Archiviazione per il rilevamento e la protezione automatizzati delle minacce
Applicare principi Zero Trust alle macchine virtuali in Azure
- Configurare l'isolamento logico per le macchine virtuali
- Sfruttare il controllo degli accessi basato sui ruoli
- Proteggere i componenti di avvio della macchina virtuale
- Abilitare chiavi gestite dal cliente e doppia crittografia
- Controllare le applicazioni installate nelle macchine virtuali
- Configurare l'accesso sicuro
- Configurare la manutenzione sicura delle macchine virtuali
- Abilitare il rilevamento e la protezione avanzata delle minacce
Applicare i principi di Zero Trust a una VNet spoke in Azure
- Sfruttare l'RBAC di Microsoft Entra o impostare ruoli personalizzati per le risorse di rete
- Isolare l'infrastruttura nel proprio gruppo di risorse
- Creare un gruppo di sicurezza di rete per ogni subnet
- Creare un gruppo di sicurezza delle applicazioni per ogni ruolo della macchina virtuale
- Proteggere il traffico e le risorse all'interno della rete virtuale
- Proteggere l'accesso alla rete virtuale e all'applicazione
- Abilitare il rilevamento e la protezione avanzata delle minacce
Applicare i principi di Zero Trust a una rete virtuale hub in Azure
- Firewall Premium Sicuro di Azure
- Distribuire la protezione DDoS Standard di Azure
- Configurare il routing del gateway di rete verso il firewall
- Configurare la protezione dalle minacce
Illustrazioni tecniche
Queste illustrazioni sono repliche delle illustrazioni di riferimento contenute in questi articoli. Scaricare e personalizzare questi elementi per l'organizzazione e i clienti. Sostituire il logo Contoso con il proprio.
| Elemento | Descrizione |
|---|---|
Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS Usare queste illustrazioni con questi articoli: - Sintesi - Archiviazione di Azure - Macchine virtuali - Reti virtuali spoke di Azure - Reti virtuali dell'hub di Azure |
Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS - Poster di una pagina Una panoramica su una pagina del processo per applicare i principi di Zero Trust negli ambienti IaaS di Azure. |
Per altre illustrazioni tecniche, vedere Illustrazioni Zero Trust per architetti IT e implementatori.
Training consigliato per Zero Trust
Di seguito sono riportati i moduli di training consigliati per Zero Trust.
Gestione e governance di Azure
| Formazione | Descrivere la gestione e la governance di Azure |
|---|---|
|
Il training Concetti fondamentali di Azure è costituito da tre percorsi di apprendimento: Concetti fondamentali di Microsoft Azure: Descrivere i concetti relativi al cloud, Descrivere l'architettura e i servizi di Azure e Descrivere la gestione e la governance di Azure. Concetti fondamentali di Microsoft Azure: Descrivere la gestione e la governance di Azure è il terzo percorso di apprendimento della serie Concetti fondamentali di Microsoft Azure. Questo percorso di apprendimento illustra le risorse di gestione e governance disponibili per gestire le risorse cloud e locali. Questo percorso di apprendimento consente di prepararsi all'esame AZ-900: Concetti fondamentali di Microsoft Azure. |
Configurare Criteri di Azure
| Formazione | Configurare Criteri di Azure |
|---|---|
|
Scopri come configurare Azure Policy per implementare i requisiti di conformità. In questo modulo si apprenderà come: |
Gestire le operazioni di sicurezza
| Formazione | Gestire l'operazione di sicurezza |
|---|---|
|
Dopo avere distribuito e protetto l'ambiente di Azure, occorre imparare a monitorare, gestire e migliorare continuamente la sicurezza delle soluzioni. Questo percorso di apprendimento consente di prepararsi all'esame AZ-500: Tecnologie di sicurezza di Microsoft Azure. |
Configurare la sicurezza dell'archiviazione
| Formazione | Configurare la sicurezza dell'archiviazione |
|---|---|
|
Si apprenderà come configurare le funzionalità di sicurezza di Archiviazione di Azure come le firme di accesso alle risorse di archiviazione. In questo modulo, imparerai a: |
Configurare Firewall di Azure
| Formazione | Configurare Firewall di Azure |
|---|---|
|
In questo modulo si apprenderà come configurare Firewall di Azure e come usare le regole del firewall. Dopo avere completato questo modulo, si sarà in grado di: |
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure | Microsoft Learn
Passaggi successivi
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:
- Per Azure IaaS:
- Desktop virtuale "Azure"
- Rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust alla rete di Azure:
- Crittografia
- Segmentazione
- Ottenere visibilità sul traffico di rete
- Interrompere la tecnologia di sicurezza di rete legacy
Riferimenti
Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Che cos'è Azure - Microsoft Servizi cloud
- Infrastruttura distribuita come servizio (IaaS) di Azure
- Macchine virtuali (VM) per Linux e Windows
- Introduzione all'Archiviazione di Azure
- Rete virtuale di Azure
- Introduzione alla sicurezza di Azure
- Linee guida per l'implementazione zero trust
- Panoramica di Microsoft Cloud Security Benchmark
- Panoramica delle baseline di sicurezza per Azure
- Creazione del primo livello di difesa con i servizi di sicurezza di Azure
- Architetture di riferimento per la cybersecurity Microsoft